SideWind APT

SideWind, Güney Asya bölgesine sürekli ilgi gösteren Gelişmiş Kalıcı Tehdit (APT) hacker grubuna verilen addır. Grup şu anda aynı bölgedeki hedeflere karşı geniş kapsamlı bir saldırı kampanyası yürütüyor. Daha spesifik olarak, bilgisayar korsanları çoğunlukla Nepal ve Afganistan'da bulunan varlıkları tehlikeye atmaya çalışıyor. Onaylanan hedefler arasında Nepal Ordusu, Nepal Savunma ve Dışişleri Bakanlıkları, Sri Lanka Savunma Bakanlığı, Afganistan Ulusal Güvenlik Konseyi ve Afganistan'daki Başkanlık Sarayı yer alıyor. SideWind APT, operasyonlarında, Güney Asya bölgesine özgü küresel olayları ve siyasi sorunları kimlik avı ve kötü amaçlı yazılım kampanyalarına hızla dahil etme becerisini gösteriyor. Grup, halihazırda birkaç tehdit edici operasyonda COVID-19 pandemisinden yararlanırken, son kampanya ayrıca 'Hindistan, Çin'in Nepal'in Lipulekh'teki Duruşuyla Hiçbir Şeyi Olmadığını Fark Etmeli' başlıklı bir makaleye ve 'Büyükelçi Yanchi' adlı bir belgeye bağlantılar içeriyor. Nepali_Media.pdf ile görüşme.' Belge, Çin'in Nepal büyükelçisi ile COVID-19, Kuşak, Yol Girişimi ve Humla bölgesindeki bölgesel mesele hakkında bir röportaj içeriyor.

Kimlik Hırsızlığı ve Kimlik Avı E-postaları

Halihazırda devam eden SideWind APT operasyonu, birkaç farklı hedefi gerçekleştirmeyi amaçlayan birkaç saldırı vektörü içeriyor. İlk olarak, SideWind APT, hedeflenen kullanıcıların kimlik bilgilerini toplamak amacıyla gerçek oturum açma sayfalarının sahte kopyalarını oluşturdu. Örneğin, bilgi güvenliği araştırmacıları, 'mail-nepalgovnp.duckdns.org'un, 'mail.nepal.gov.np' adresinde bulunan meşru Nepal hükümetinin etki alanı gibi görünmek için oluşturulduğunu keşfetti. Kimlik bilgileri toplandıktan sonra, kurbanlar ya gerçek oturum açma sayfalarına ya da sıcak düğme sorunlarını tartışan daha önce bahsedilen belgelere yönlendirildi.

SideWind APT'nin saldırısının diğer tarafı, kimlik avı e-postalarının yayılması yoluyla bir arka kapı tehdidi ve bir bilgi toplayıcı olan kötü amaçlı yazılımın dağıtımını içerir. Enfeksiyon, birden fazla aşama ve birkaç damlalık içeren karmaşık bir saldırı zinciri içerir. Saldırı iki farklı senaryoyu takip edebilir:

• Bir .rtf dosyası ve bir JavaScript dosyası indiren bir .lnk dosyasının ilk teslimi
• Tehdit edici bir .lnk dosyası içeren bir .zip arşivinin ilk teslimatı. .lnk, JavaScript içeren bir .hta dosyası getirerek saldırının sonraki aşamasını başlatır.

.rtf dosyaları, CVE-2017-11882 güvenlik açığından yararlanır ve bu, tehdit aktörünün herhangi bir kullanıcı etkileşimine gerek kalmadan cihaz üzerinde rastgele tehdit edici kod çalıştırmasına olanak tanır. Bu özel güvenlik açığı 2017'de düzeltilmiş olsa da, Microsoft Office, Microsoft Windows'un yama uygulanmamış herhangi bir sürümünü ve 2000'e kadar uzanan mimari türlerini etkileyebileceği için siber suçlular bunu kullanmaya devam ediyor.

Ancak, her iki saldırı durumunda da nihai hedefe, gerçek kötü amaçlı yazılım yükleri için bir damlalık görevi gören JavaScript dosyaları aracılığıyla ulaşılır.

Tam olarak konuşlandırıldığında, SideWind APT'nin tehdit araçları, çeşitli bilgi türlerini toplayabilir ve seçilen dosyaları grubun Komuta ve Kontrol (C2, C&C) altyapısına aktarabilir. Toplanan veriler, kullanıcı hesabı ayrıntılarını, sistem bilgilerini, çalışan işlemleri, CPU ayrıntılarını, işletim sistemi ayrıntılarını, ağ ayrıntılarını, yüklü anti-virüs programlarını, ayrıcalıkları, bağlı tüm sürücüler ve yüklü uygulamalar için ayrıntıları içerir. Veri toplayıcı tehdidi ayrıca dört belirli konumdaki tüm dizinleri listeler:

• Kullanıcılar\%USERNAME%\Masaüstü,
• Kullanıcılar\%USERNAME%\İndirilenler,
• Kullanıcılar\%USERNAME%\Belgeler,
• Kullanıcılar\%USERNAME%\Kişiler

Mobil Kampanya Yapım Aşamasındadır

SideWind APT'nin de kullanıcıların mobil cihazlarını hedef alacak çalışmalarda bir saldırı kampanyası bulunuyor. Tamamı tamamlanmamış durumda olan birkaç uygulama zaten keşfedildi. Bazıları henüz tehdit edici bir kod içermedi, ancak mümkün olduğunca meşru görünecek şekilde tasarlandı. Böyle bir uygulamaya 'OpinionPoll' denir ve Nepal-Hindistan siyasi anlaşmazlığı hakkında görüş toplamak için bir anket uygulaması gibi görünüyor. Diğer uygulamaların tehdit edici yetenekleri zaten uygulandı, ancak yine de tamamlanmadan önce daha fazla çalışmaya ihtiyaç olduğuna dair işaretler verdi.

SideWind APT, faaliyetlerinde mobil kötü amaçlı yazılım araçlarını ilk kez kullanmıyor. Daha önce, fotoğraf araçlarının dosya yöneticisi gibi davranarak tehditkar uygulamalar kullandıkları gözlemlenmişti. Kullanıcı bunları indirdikten sonra SideWind APT uygulamaları, güvenliği ihlal edilen cihazda kök ayrıcalıkları elde etmek için CVE-2019-2215 istismarından ve MediaTek-SU güvenlik açıklarından yararlandı.