Mga Lisensya ng Multi-Device (Mga Diskwento sa Dami)
Threat Database Advanced Persistent Threat (APT) SideWind APT

SideWind APT

Sa pamamagitan ng GoldSparrow sa Advanced Persistent Threat (APT)
Isalin To:
Wikang Filipino

Ang SideWind ay ang pangalang itinalaga sa isang Advanced Persistent Threat (APT) na pangkat ng mga hacker na nagpakita ng pangmatagalang interes sa rehiyon ng South Asia. Ang grupo ay kasalukuyang nakikibahagi sa isang malawak na saklaw na kampanya ng pag-atake laban sa mga target sa parehong rehiyon. Higit na partikular, sinusubukan ng mga hacker na ikompromiso ang mga entity na pangunahing matatagpuan sa Nepal at Afghanistan. Kasama sa mga nakumpirmang target ang Nepali Army, ang Nepali Ministries of Defense and Foreign Affairs, ang Sri Lankan Ministry of Defense, ang Afghanistan National Security Council, at ang Presidential Palace sa Afghanistan. Sa mga operasyon nito, ipinapakita ng SideWind APT ang kakayahang mabilis na isama ang mga pandaigdigang kaganapan at isyung pampulitika na partikular sa rehiyon ng South Asia sa kanilang mga kampanya sa phishing at malware. Sinamantala ng grupo ang pandemya ng COVID-19 sa ilang nagbabantang operasyon na, habang kasama rin sa pinakabagong kampanya ang mga link sa isang artikulong pinangalanang 'India Should Realize China has Nothing to Do With Nepal's Stand on Lipulekh' at isang dokumentong tinatawag na 'Ambassador Yanchi Pakikipag-usap sa Nepali_Media.pdf.' Ang dokumento ay naglalaman ng isang panayam sa embahador ng Tsina sa Nepal tungkol sa COVID-19, ang Belt, Road Initiative at usapin ng teritoryo sa distrito ng Humla.

Pagnanakaw ng Kredensyal at Mga Email sa Phishing

Ang kasalukuyang patuloy na operasyon ng SideWind APT ay nagsasangkot ng ilang mga vector ng pag-atake na naglalayong makamit ang ilang natatanging layunin. Una, gumawa ang SideWind APT ng mga spoofed na kopya ng aktwal na mga pahina sa pag-log in na may layuning kolektahin ang mga kredensyal ng mga naka-target na user. Halimbawa, natuklasan ng mga mananaliksik ng infosec na ang 'mail-nepalgovnp.duckdns.org' ay nilikha upang magpanggap bilang lehitimong domain ng gobyerno ng Nepal na matatagpuan sa 'mail.nepal.gov.np.' Kapag na-harvest na ang mga kredensyal, ire-redirect ng mga biktima ang alinman sa mga tunay na pahina sa pag-log in o sa mga naunang nabanggit na dokumento na tumatalakay sa mga isyu sa hot-button.

Ang kabilang panig ng pag-atake ng SideWind APT ay nagsasangkot ng pamamahagi ng malware - isang banta sa likod ng pintuan at isang kolektor ng impormasyon, sa pamamagitan ng pagpapakalat ng mga email na phishing. Ang impeksyon ay nagsasangkot ng isang kumplikadong chain ng pag-atake na naglalaman ng maraming yugto at ilang dropper. Ang pag-atake ay maaaring sumunod sa dalawang magkaibang senaryo:

  • Paunang paghahatid ng .lnk file na nagda-download ng .rtf file at JavaScript file
  • Paunang paghahatid ng isang .zip archive na naglalaman ng isang nagbabantang .lnk file. Sinisimulan ng .lnk ang susunod na yugto ng pag-atake sa pamamagitan ng pagkuha ng .hta file na may JavaScript

Sinasamantala ng mga .rtf file ang kahinaan ng CVE-2017-11882, na nagbibigay-daan sa threat actor na magpatakbo ng arbitrary na pagbabanta na code sa device nang hindi nangangailangan ng anumang pakikipag-ugnayan ng user. Bagama't naayos na ang partikular na pagsasamantalang ito noong 2017, ginagamit pa rin ito ng mga cybercriminal dahil maaari itong makaapekto sa anumang hindi na-patch na bersyon ng Microsoft Office, Microsoft Windows, at mga uri ng arkitektura na babalik sa 2000.

Gayunpaman, sa parehong mga kaso ng pag-atake, ang layunin ay makakamit sa pamamagitan ng mga file ng JavaScript na nagsisilbing dropper para sa aktwal na mga payload ng malware.

Kapag ganap na na-deploy, ang mga tool sa pagbabanta ng SideWind APT ay maaaring mag-harvest ng iba't ibang uri ng impormasyon, pati na rin mag-exfiltrate ng mga napiling file sa Command-and-Control (C2, C&C) na imprastraktura ng grupo. Kasama sa nakolektang data ang mga detalye ng user account, impormasyon ng system, mga proseso ng pagpapatakbo, mga detalye ng CPU, mga detalye ng OS, mga detalye ng network, mga naka-install na anti-virus program, mga pribilehiyo, mga detalye para sa lahat ng konektadong drive at mga naka-install na application. Inililista din ng banta ng data-collector ang lahat ng direktoryo sa apat na partikular na lokasyon:

  • Mga user\%USERNAME%\Desktop,
  • Mga User\%USERNAME%\Mga Download,
  • Mga gumagamit\%USERNAME%\Mga Dokumento,
  • Mga user\%USERNAME%\Mga Contact

Nasa ilalim ng Konstruksyon ang isang Mobile Campaign

Ang SideWind APT ay mayroon ding kampanya sa pag-atake sa mga gawa na magta-target ng mga mobile device ng mga user. Ilang mga aplikasyon na ang natuklasan, na ang lahat ng mga ito ay nasa isang hindi natapos na estado. Ang ilan ay naglalaman ng walang nagbabantang code sa ngayon ngunit idinisenyo upang lumitaw bilang lehitimo hangga't maaari. Ang isa sa mga naturang aplikasyon ay tinatawag na 'OpinionPoll' at nagpapanggap na isang aplikasyon ng survey para sa pangangalap ng mga opinyon sa hindi pagkakaunawaan sa pulitika ng Nepal-India. Ang iba pang mga aplikasyon ay may mga kakayahan sa pagbabanta na ipinatupad na ngunit nagpakita pa rin ng mga senyales na higit pang trabaho ang kailangan bago sila matapos.

Hindi ito ang unang pagkakataon na gumamit ang SideWind APT ng mga tool sa mobile malware sa kanilang mga aktibidad. Dati, naobserbahan silang nag-deploy ng mga nagbabantang application na nagpapanggap bilang file manager ng mga tool sa photography. Kapag na-download na ng user ang mga ito, ginamit ng SideWind APT applications ang CVE-2019-2215 exploit at mga kahinaan ng MediaTek-SU para makakuha ng mga pribilehiyo sa ugat sa nakompromisong device.

Trending

Pinaka Nanood

Naglo-load...