SideWind APT

SideWind – це ім’я, присвоєне групі хакерів із розширеною стійкою загрозою (APT), які виявляли постійний інтерес до регіону Південної Азії. Наразі угруповання веде широкомасштабну атаку на цілі в цьому ж регіоні. Точніше, хакери намагаються скомпрометувати організації, переважно розташовані в Непалі та Афганістані. Підтверджені цілі включають непальську армію, міністерства оборони та закордонних справ Непальії, міністерство оборони Шрі-Ланки, Раду національної безпеки Афганістану та Президентський палац в Афганістані. У своїй діяльності SideWind APT демонструє здатність швидко включати глобальні події та політичні проблеми, характерні для регіону Південної Азії, у свої кампанії з фішингу та шкідливого програмного забезпечення. Група вже скористалася пандемією COVID-19 у кількох загрозливих операціях, тоді як остання кампанія також містить посилання на статтю під назвою «Індія повинна усвідомити, що Китай не має нічого спільного з позицією Непалу щодо Ліпулеха» та документ під назвою «Посол Янчі». Розмова з Nepali_Media.pdf.' Документ містить інтерв’ю з послом Китаю в Непалі щодо COVID-19, ініціативи «Пояс, шлях» та територіальних питань в районі Хумла.

Крадіжка облікових даних та фішинг електронні листи

Операція SideWind APT, що триває зараз, включає кілька векторів атаки, які спрямовані на досягнення кількох різних цілей. По-перше, SideWind APT створив підроблені копії фактичних сторінок входу з наміром зібрати облікові дані цільових користувачів. Наприклад, дослідники Infosec виявили, що «mail-nepalgovnp.duckdns.org» був створений, щоб маскуватися під законний домен уряду Непалу, розташований за адресою «mail.nepal.gov.np». Після того, як облікові дані були зібрані, жертви переспрямовувалися або на реальні сторінки входу, або до вищезгаданих документів, де обговорювалися гарячі проблеми.

Інша сторона атаки SideWind APT пов’язана з розповсюдженням зловмисного програмного забезпечення – бекдорної загрози та збирача інформації через розповсюдження фішингових листів. Інфекція включає складний ланцюг атак, який містить кілька етапів і кілька крапельниць. Напад може відбуватися за двома різними сценаріями:

• Початкова доставка файлу .lnk, який завантажує файл .rtf і файл JavaScript
• Початкова доставка архіву .zip, що містить загрозливий файл .lnk. .lnk починає наступну фазу атаки, витягуючи файл .hta за допомогою JavaScript

Файли .rtf використовують уразливість CVE-2017-11882, яка дозволяє загрозам запускати довільний загрозливий код на пристрої без необхідності будь-якої взаємодії з користувачем. Хоча цей конкретний експлойт був виправлений ще в 2017 році, кіберзлочинці все ще використовують його, оскільки він може вплинути на будь-яку невиправлену версію Microsoft Office, Microsoft Windows та типи архітектури, починаючи з 2000 року.

Проте в обох випадках атаки кінцева мета досягається за допомогою файлів JavaScript, які діють як засіб для видалення фактичних корисних даних шкідливого програмного забезпечення.

Після повного розгортання загрозливі інструменти SideWind APT можуть збирати різну інформацію, а також вилучати вибрані файли в інфраструктуру командування та керування (C2, C&C) групи. Зібрані дані включають дані облікового запису користувача, інформацію про систему, запущені процеси, дані про процесор, деталі ОС, дані про мережу, встановлені антивірусні програми, привілеї, відомості про всі підключені диски та встановлені програми. Загроза збирача даних також містить список усіх каталогів у чотирьох конкретних місцях:

• Користувачі\%USERNAME%\Desktop,
• Користувачі\%USERNAME%\Завантаження,
• Користувачі\%USERNAME%\Documents,
• Користувачі\%USERNAME%\Контакти

Розробляється мобільна кампанія

SideWind APT також розробляє кампанію атаки, спрямовану на мобільні пристрої користувачів. Вже виявлено кілька застосувань, усі вони в незавершеному стані. Деякі з них поки що не містили коду загрози, але були розроблені, щоб виглядати максимально законно. Одна з таких програм називається «OpinionPoll» і прикидається, що є програмою опитування для збору думок щодо політичної суперечки Непалу та Індії. Інші програми мали загрозливі можливості вже реалізовані, але все ще показували ознаки того, що потрібно більше працювати, перш ніж вони будуть завершені.

Це не перший випадок, коли SideWind APT використовує мобільні зловмисні засоби у своїй діяльності. Раніше було помічено, що вони розгортають загрозливі програми, які прикидаються файловим менеджером інструментів фотографії. Після того, як користувач завантажив їх, програми SideWind APT використовували експлойт CVE-2019-2215 і вразливості MediaTek-SU для отримання прав root на зламаному пристрої.