SideWind APT

SideWind ist der Name einer Advanced Persistent Threat (APT) Gruppe von Hackern, die anhaltendes Interesse an der Region Südasien gezeigt haben. Die Gruppe führt derzeit eine weitreichende Angriffskampagne gegen Ziele in derselben Region durch. Insbesondere versuchen die Hacker, Unternehmen zu kompromittieren, die sich hauptsächlich in Nepal und Afghanistan befinden. Zu den bestätigten Zielen gehören die nepalesische Armee, die nepalesischen Verteidigungs- und Außenministerien, das srilankische Verteidigungsministerium, der afghanische Nationale Sicherheitsrat und der Präsidentenpalast in Afghanistan. SideWind APT demonstriert in seiner Tätigkeit die Fähigkeit, globale Ereignisse und politische Probleme, die für die Region Südasien spezifisch sind, schnell in ihre Phishing- und Malware-Kampagnen einzubeziehen. Die Gruppe hat die COVID-19-Pandemie bereits bei mehreren Bedrohungsoperationen ausgenutzt, während die jüngste Kampagne auch Links zu einem Artikel mit dem Titel "Indien sollte erkennen, dass China nichts mit Nepals Standpunkt zu Lipulekh zu tun hat" und einem Dokument mit dem Titel "Botschafter Yanchi" enthält Gespräch mit Nepali_Media.pdf. ' Das Dokument enthält ein Interview mit dem chinesischen Botschafter in Nepal über COVID-19, den Gürtel, die Straßeninitiative und territoriale Angelegenheiten im Distrikt Humla.

Diebstahl von Anmeldeinformationen und Phishing-E-Mails

Die derzeit laufende SideWind APT-Operation umfasst mehrere Angriffsmethoden, mit denen mehrere unterschiedliche Ziele erreicht werden sollen. Zunächst erstellte SideWind APT gefälschte Kopien der tatsächlichen Anmeldeseiten mit der Absicht, die Anmeldeinformationen der Zielbenutzer zu sammeln. Zum Beispiel entdeckten Infosec-Forscher, dass 'mail-nepalgovnp.duckdns.org' geschaffen wurde, um sich als Domain der legitimen nepalesischen Regierung unter 'mail.nepal.gov.np' auszugeben. Sobald die Anmeldeinformationen gesammelt wurden, werden die Opfer entweder zu den echten Anmeldeseiten oder zu den zuvor erwähnten Dokumenten weitergeleitet, in denen Hot-Button-Probleme besprochen werden.

Die andere Seite des Angriffs von SideWind APT ist die Verbreitung von Malware - eine Backdoor-Bedrohung und ein Informationssammler - durch die Verbreitung von Phishing-E-Mails. Die Infektion beinhaltet eine komplexe Angriffskette, die mehrere Stadien und mehrere Tropfer enthält. Der Angriff kann zwei verschiedenen Szenarien folgen:

• Erstlieferung einer .lnk-Datei, die eine .rtf-Datei und eine JavaScript-Datei herunterlädt
• Erstlieferung eines .zip-Archivs mit einer bedrohlichen .lnk-Datei. Die .lnk startet die nächste Phase des Angriffs, indem sie eine .hta-Datei mit JavaScript abruft

Die RTF-Dateien nutzen die Sicherheitsanfälligkeit CVE-2017-11882 aus, mit der der Bedrohungsakteur beliebigen Benutzercode auf dem Gerät ausführen kann, ohne dass Benutzerinteraktionen erforderlich sind. Obwohl dieser spezielle Exploit bereits 2017 behoben wurde, wird er von Cyberkriminellen immer noch verwendet, da er alle nicht gepatchten Versionen von Microsoft Office, Microsoft Windows und Architekturtypen betreffen kann, die bis ins Jahr 2000 zurückreichen.

In beiden Angriffsfällen wird das Endziel jedoch durch die JavaScript-Dateien erreicht, die als Dropper für die tatsächlichen Malware-Nutzdaten fungieren.

Bei vollständiger Bereitstellung können die Bedrohungstools des SideWind APT verschiedene Arten von Informationen sammeln und ausgewählte Dateien in die Command-and-Control-Infrastruktur (C2, C & C) der Gruppe filtern. Die gesammelten Daten umfassen Benutzerkontodetails, Systeminformationen, laufende Prozesse, CPU-Details, Betriebssystemdetails, Netzwerkdetails, installierte Antivirenprogramme, Berechtigungen, Details für alle verbundenen Laufwerke und installierten Anwendungen. Die Bedrohung durch Datensammler listet auch alle Verzeichnisse an vier bestimmten Speicherorten auf:

• Benutzer \% USERNAME% \ Desktop,
• Benutzer \% USERNAME% \ Downloads,
• Benutzer \% USERNAME% \ Dokumente,
• Benutzer \% USERNAME% \ Kontakte

Eine mobile Kampagne befindet sich im Aufbau

Der SideWind APT hat auch eine Angriffskampagne in Arbeit, die auf die mobilen Geräte der Benutzer abzielt. Es wurden bereits mehrere Anwendungen entdeckt, von denen sich alle in einem unfertigen Zustand befinden. Einige enthielten noch keinen Bedrohungscode, sollten jedoch so legitim wie möglich erscheinen. Eine solche Anwendung heißt "OpinionPoll" und gibt vor, eine Umfrageanwendung zu sein, um Meinungen zum politischen Streit zwischen Nepal und Indien zu sammeln. Andere Anwendungen hatten bereits Bedrohungsfunktionen implementiert, zeigten jedoch immer noch Anzeichen dafür, dass mehr Arbeit erforderlich ist, bevor sie abgeschlossen sind.

Dies ist nicht das erste Mal, dass SideWind APT mobile Malware-Tools für seine Aktivitäten einsetzt. Bisher wurde beobachtet, dass sie bedrohliche Anwendungen bereitstellen, die vorgeben, der Dateimanager von Fototools zu sein. Sobald der Benutzer sie heruntergeladen hat, nutzten die SideWind APT-Anwendungen den CVE-2019-2215-Exploit und die MediaTek-SU-Schwachstellen, um Root-Berechtigungen für das gefährdete Gerät zu erhalten.