SideWind APT

SideWindは、南アジア地域で永続的な関心を示しているハッカーのAdvanced Persistent Threat（APT）グループに割り当てられた名前です。このグループは現在、同じ地域のターゲットに対する広範囲の攻撃キャンペーンに取り組んでいます。より具体的には、ハッカーは主にネパールとアフガニスタンにあるエンティティを危険にさらそうとしています。確認された目標には、ネパール陸軍、ネパール国防外務省、スリランカ国防省、アフガニスタン国家安全保障会議、およびアフガニスタンの大統領宮殿が含まれます。 SideWind APTは、その運用において、南アジア地域に固有のグローバルなイベントや政治的問題をフィッシングやマルウェアのキャンペーンに迅速に組み込む能力を示しています。このグループはすでにいくつかの脅迫的な作戦でCOVID-19のパンデミックを利用していますが、最新のキャンペーンには「インドは中国がネパールのリプレクの立場とは何の関係もないことを認識すべき」という記事と「ヤンチ大使」という文書へのリンクも含まれていますNepali_Media.pdfとの会話。この文書には、COVID-19、一帯一路イニシアチブ、およびフムラ地区の領土問題に関するネパール駐在の中国大使へのインタビューが含まれています。

クレデンシャルの盗難とフィッシングメール

現在進行中のSideWindAPT操作には、いくつかの明確な目標を達成することを目的としたいくつかの攻撃ベクトルが含まれます。まず、SideWind APTは、標的となるユーザーの資格情報を収集することを目的として、実際のログインページのなりすましコピーを作成しました。たとえば、infosecの研究者は、「mail-nepalgovnp.duckdns.org」が「mail.nepal.gov.np」にある正当なネパール政府のドメインになりすますために作成されたことを発見しました。クレデンシャルが収集されると、被害者は実際のログインページまたはホットボタンの問題について説明している前述のドキュメントにリダイレクトされます。

SideWind APTの攻撃のもう一方の側面には、フィッシングメールの拡散によるマルウェアの配布（バックドアの脅威と情報収集者）が含まれます。感染には、複数のステージといくつかのスポイトを含む複雑な攻撃チェーンが含まれます。攻撃は2つの異なるシナリオに従う可能性があります。

• .rtfファイルとJavaScriptファイルをダウンロードする.lnkファイルの最初の配信
• 脅迫的な.lnkファイルを含む.zipアーカイブの最初の配信。 .lnkは、JavaScriptを使用して.htaファイルをフェッチすることにより、攻撃の次のフェーズを開始します

.rtfファイルはCVE-2017-11882の脆弱性を悪用します。これにより、攻撃者はユーザーの操作を必要とせずに、デバイス上で任意の脅威コードを実行できます。この特定のエクスプロイトは2017年に修正されましたが、パッチが適用されていないバージョンのMicrosoft Office、Microsoft Windows、および2000年までさかのぼるアーキテクチャタイプに影響を与える可能性があるため、サイバー犯罪者は依然としてこのエクスプロイトを使用しています。

ただし、どちらの攻撃の場合も、実際のマルウェアペイロードのスポイトとして機能するJavaScriptファイルを介して最終目標が達成されます。

SideWind APTの脅威ツールは、完全に展開されると、さまざまな種類の情報を収集し、選択したファイルをグループのコマンドアンドコントロール（C2、C＆C）インフラストラクチャに盗み出すことができます。収集されるデータには、ユーザーアカウントの詳細、システム情報、実行中のプロセス、CPUの詳細、OSの詳細、ネットワークの詳細、インストールされているウイルス対策プログラム、特権、接続されているすべてのドライブとインストールされているアプリケーションの詳細が含まれます。データコレクタの脅威は、次の4つの特定の場所にあるすべてのディレクトリも一覧表示します。

• Users \％USERNAME％\ Desktop、
• Users \％USERNAME％\ Downloads、
• Users \％USERNAME％\ Documents、
• Users \％USERNAME％\ Contacts

モバイルキャンペーンは現在作成中です

SideWind APTには、ユーザーのモバイルデバイスを標的とする攻撃キャンペーンもあります。すでにいくつかのアプリケーションが発見されており、それらはすべて未完成の状態です。現時点では脅迫的なコードが含まれていないものもありますが、可能な限り正当に見えるように設計されています。そのようなアプリケーションの1つは「OpinionPoll」と呼ばれ、ネパールとインドの政治紛争に関する意見を収集するための調査アプリケーションのふりをしています。他のアプリケーションには脅威機能がすでに実装されていましたが、それでも、完了する前にさらに作業が必要であるという兆候が見られました。

SideWindAPTがモバイルマルウェアツールを活動に採用したのはこれが初めてではありません。以前は、写真ツールのファイルマネージャーを装って脅迫的なアプリケーションを展開することが観察されていました。ユーザーがそれらをダウンロードすると、SideWind APTアプリケーションは、CVE-2019-2215エクスプロイトとMediaTek-SUの脆弱性を利用して、侵害されたデバイスのroot権限を取得します。