SideWind APT

SideWind 是分配給對南亞地區表現出持久興趣的高級持續威脅 (APT) 黑客組織的名稱。該組織目前正在對同一地區的目標進行廣泛的攻擊活動。更具體地說，黑客試圖破壞主要位於尼泊爾和阿富汗的實體。確認的目標包括尼泊爾軍隊、尼泊爾國防部和外交部、斯里蘭卡國防部、阿富汗國家安全委員會和阿富汗總統府。在其運營中，SideWind APT 展示了快速將南亞地區特有的全球事件和政治問題納入其網絡釣魚和惡意軟件活動的能力。該組織已經在幾次威脅行動中利用了 COVID-19 大流行，而最新的活動還包括指向一篇名為“印度應該意識到中國與尼泊爾在利普勒赫的立場無關”的文章和一份名為“延吉大使”的文件的鏈接與尼泊爾媒體的對話.pdf。該文件包含對中國駐尼泊爾大使就 COVID-19、一帶一路倡議和胡姆拉地區領土問題的採訪。

憑據盜竊和網絡釣魚電子郵件

當前正在進行的 SideWind APT 操作涉及多個攻擊向量，旨在實現多個不同的目標。首先，SideWind APT 創建了實際登錄頁面的欺騙副本，目的是收集目標用戶的憑據。例如，信息安全研究人員發現，創建“mail-nepalgovnp.duckdns.org”是為了偽裝成位於“mail.nepal.gov.np”的尼泊爾政府的合法域名。獲取憑據後，受害者將重定向到真實的登錄頁面或前面提到的討論熱點問題的文檔。

SideWind APT 攻擊的另一面涉及惡意軟件的分發 - 後門威脅和信息收集器，通過網絡釣魚電子郵件的傳播。感染涉及一個複雜的攻擊鏈，其中包含多個階段和多個 dropper。攻擊可能遵循兩種不同的情況：

• 下載 .rtf 文件和 JavaScript 文件的 .lnk 文件的初始交付
• 包含威脅 .lnk 文件的 .zip 存檔的初始交付。 .lnk 通過使用 JavaScript 獲取 .hta 文件開始下一階段的攻擊

.rtf 文件利用 CVE-2017-11882 漏洞，該漏洞允許威脅行為者在設備上運行任意威脅代碼，而無需任何用戶交互。儘管這個特殊的漏洞早在 2017 年就已修復，但網絡犯罪分子仍在使用它，因為它可以影響任何未打補丁的 Microsoft Office、Microsoft Windows 版本和可追溯到 2000 年的架構類型。

但是，在這兩種攻擊情況下，最終目標都是通過 JavaScript 文件實現的，這些 JavaScript 文件充當實際惡意軟件負載的投放器。

完全部署後，SideWind APT 的威脅工具可以收集各種信息，並將選定的文件洩露到該組織的命令與控制（C2、C&C）基礎設施中。收集的數據包括用戶帳戶詳細信息、系統信息、正在運行的進程、CPU 詳細信息、操作系統詳細信息、網絡詳細信息、已安裝的防病毒程序、權限、所有已連接驅動器和已安裝應用程序的詳細信息。數據收集器威脅還列出了四個特定位置的所有目錄：

• 用戶\%USERNAME%\桌面，
• 用戶\%USERNAME%\下載，
• 用戶\%USERNAME%\Documents,
• 用戶\%USERNAME%\聯繫人

正在建設移動廣告系列

SideWind APT 也有針對用戶移動設備的攻擊活動。已經發現了幾個應用程序，所有這些應用程序都處於未完成的狀態。有些目前還沒有包含威脅代碼，但被設計為盡可能合法。其中一個應用程序稱為“OpinionPoll”，它偽裝成一個調查應用程序，用於收集對尼泊爾-印度政治爭端的意見。其他應用程序已經實施了具有威脅性的功能，但仍有跡象表明在完成之前需要做更多的工作。

這不是 SideWind APT 第一次在其活動中使用移動惡意軟件工具。此前，有人觀察到他們部署了偽裝成攝影工具文件管理器的威脅應用程序。用戶下載後，SideWind APT 應用程序利用 CVE-2019-2215 漏洞和 MediaTek-SU 漏洞獲取受感染設備的 root 權限。