SideWind APT

SideWind 是分配给对南亚地区表现出持久兴趣的高级持续威胁 (APT) 黑客组织的名称。该组织目前正在对同一地区的目标进行广泛的攻击活动。更具体地说，黑客试图破坏主要位于尼泊尔和阿富汗的实体。确认的目标包括尼泊尔军队、尼泊尔国防部和外交部、斯里兰卡国防部、阿富汗国家安全委员会和阿富汗总统府。在其运营中，SideWind APT 展示了快速将南亚地区特有的全球事件和政治问题纳入其网络钓鱼和恶意软件活动的能力。该组织已经在几次威胁行动中利用了 COVID-19 大流行，而最新的活动还包括指向一篇名为“印度应该意识到中国与尼泊尔在利普勒赫的立场无关”的文章和一份名为“盐池大使”的文件的链接与尼泊尔媒体的对话.pdf。该文件包含对中国驻尼泊尔大使就 COVID-19、一带一路倡议和胡姆拉地区领土问题的采访。

凭据盗窃和网络钓鱼电子邮件

当前正在进行的 SideWind APT 操作涉及多个攻击向量，旨在实现多个不同的目标。首先，SideWind APT 创建了实际登录页面的欺骗副本，目的是收集目标用户的凭据。例如，信息安全研究人员发现，创建“mail-nepalgovnp.duckdns.org”是为了伪装成位于“mail.nepal.gov.np”的尼泊尔政府的合法域名。获取凭据后，受害者将重定向到真实的登录页面或前面提到的讨论热点问题的文档。

SideWind APT 攻击的另一面涉及恶意软件的分发 - 后门威胁和信息收集器，通过网络钓鱼电子邮件的传播。感染涉及一个复杂的攻击链，其中包含多个阶段和多个 dropper。攻击可能遵循两种不同的情况：

• 下载 .rtf 文件和 JavaScript 文件的 .lnk 文件的初始交付
• 包含威胁 .lnk 文件的 .zip 存档的初始交付。 .lnk 通过使用 JavaScript 获取 .hta 文件开始下一阶段的攻击

.rtf 文件利用 CVE-2017-11882 漏洞，该漏洞允许威胁行为者在设备上运行任意威胁代码，而无需任何用户交互。尽管此特定漏洞在 2017 年已修复，但网络犯罪分子仍在使用它，因为它可以影响任何未打补丁的 Microsoft Office、Microsoft Windows 版本和可追溯到 2000 年的架构类型。

然而，在这两种攻击案例中，最终目标都是通过 JavaScript 文件实现的，这些 JavaScript 文件充当实际恶意软件负载的投放器。

完全部署后，SideWind APT 的威胁工具可以收集各种信息，并将选定的文件泄露到该组织的命令与控制（C2、C&C）基础设施中。收集的数据包括用户帐户详细信息、系统信息、正在运行的进程、CPU 详细信息、操作系统详细信息、网络详细信息、已安装的防病毒程序、权限、所有已连接驱动器和已安装应用程序的详细信息。数据收集器威胁还列出了四个特定位置的所有目录：

• 用户\%USERNAME%\桌面，
• 用户\%USERNAME%\下载，
• 用户\%USERNAME%\Documents,
• 用户\%USERNAME%\联系人

正在建设移动广告系列

SideWind APT 也有针对用户移动设备的攻击活动。已经发现了几个应用程序，所有这些应用程序都处于未完成的状态。有些目前还没有包含威胁代码，但被设计为尽可能合法。其中一个应用程序称为“OpinionPoll”，它伪装成一个调查应用程序，用于收集对尼泊尔-印度政治争端的意见。其他应用程序已经实施了具有威胁性的功能，但仍有迹象表明在完成之前需要做更多的工作。

这不是 SideWind APT 第一次在其活动中使用移动恶意软件工具。此前，有人观察到他们部署了伪装成摄影工具文件管理器的威胁应用程序。用户下载后，SideWind APT 应用程序利用 CVE-2019-2215 漏洞和 MediaTek-SU 漏洞获取受感染设备的 root 权限。