SideWind APT

SideWind APT Descripción

SideWind es el nombre asignado a un grupo de hackers de amenazas persistentes avanzadas (APT) que han mostrado un interés duradero en la región del sur de Asia. El grupo está actualmente involucrado en una campaña de ataque de amplio alcance contra objetivos en esa misma región. Más específicamente, los piratas informáticos están tratando de comprometer entidades ubicadas principalmente en Nepal y Afganistán. Los objetivos confirmados incluyen el Ejército de Nepal, los Ministerios de Defensa y Relaciones Exteriores de Nepal, el Ministerio de Defensa de Sri Lanka, el Consejo de Seguridad Nacional de Afganistán y el Palacio Presidencial en Afganistán. En sus operaciones, SideWind APT demuestra la capacidad de incorporar rápidamente eventos globales y problemas políticos específicos de la región del sur de Asia en sus campañas de phishing y malware. El grupo ya se ha aprovechado de la pandemia de COVID-19 en varias operaciones amenazadoras, mientras que la última campaña también incluye enlaces a un artículo llamado 'India debería darse cuenta de que China no tiene nada que ver con la posición de Nepal en Lipulekh' y un documento llamado 'Embajador Yanchi Conversación con Nepali_Media.pdf. ' El documento contiene una entrevista con el embajador chino en Nepal sobre el COVID-19, la Iniciativa de la Franja, la Ruta y el asunto territorial en el distrito de Humla.

Robo de credenciales y correos electrónicos de phishing

La operación APT SideWind actualmente en curso involucra varios vectores de ataque que apuntan a lograr varios objetivos distintos. Primero, SideWind APT creó copias falsificadas de las páginas de inicio de sesión reales con la intención de recopilar las credenciales de los usuarios objetivo. Por ejemplo, los investigadores de infosec descubrieron que 'mail-nepalgovnp.duckdns.org' se creó para hacerse pasar por el dominio legítimo del gobierno de Nepal ubicado en 'mail.nepal.gov.np'. Una vez que se recopilaron las credenciales, las víctimas se redirigieron a las páginas de inicio de sesión reales o a los documentos mencionados anteriormente que discuten cuestiones de botón caliente.

El otro lado del ataque de SideWind APT implica la distribución de malware, una amenaza de puerta trasera y un recolector de información, a través de la difusión de correos electrónicos de phishing. La infección involucra una compleja cadena de ataque que contiene múltiples etapas y varios goteros. El ataque podría seguir dos escenarios diferentes:

  • Entrega inicial de un archivo .lnk que descarga un archivo .rtf y un archivo JavaScript
  • Entrega inicial de un archivo .zip que contiene un archivo .lnk amenazante. El .lnk inicia la siguiente fase del ataque al obtener un archivo .hta con JavaScript

Los archivos .rtf aprovechan la vulnerabilidad CVE-2017-11882, que permite al actor de amenazas ejecutar código amenazante arbitrario en el dispositivo sin la necesidad de interacción del usuario. Aunque este exploit en particular se solucionó en 2017, los ciberdelincuentes aún lo usan, ya que puede afectar cualquier versión sin parches de Microsoft Office, Microsoft Windows y tipos de arquitectura que se remontan a 2000.

Sin embargo, en ambos casos de ataque, el objetivo final se logra a través de los archivos JavaScript que actúan como un cuentagotas para las cargas útiles reales del malware.

Cuando están completamente implementadas, las herramientas amenazantes de SideWind APT pueden recolectar varios tipos de información, así como exfiltrar archivos seleccionados a la infraestructura de Comando y Control (C2, C&C) del grupo. Los datos recopilados incluyen detalles de la cuenta de usuario, información del sistema, procesos en ejecución, detalles de la CPU, detalles del sistema operativo, detalles de la red, programas antivirus instalados, privilegios, detalles de todas las unidades conectadas y aplicaciones instaladas. La amenaza del recolector de datos también enumera todos los directorios en cuatro ubicaciones específicas:

  • Usuarios \% USERNAME% \ Desktop,
  • Usuarios \% USERNAME% \ Descargas,
  • Usuarios \% NOMBRE DE USUARIO% \ Documentos,
  • Usuarios \% NOMBRE DE USUARIO% \ Contactos

Se está construyendo una campaña móvil

SideWind APT también tiene una campaña de ataque en proceso que se dirigirá a los dispositivos móviles de los usuarios. Ya se han descubierto varias aplicaciones, todas ellas en estado inacabado. Algunos no contenían ningún código amenazante hasta el momento, pero fueron diseñados para parecer lo más legítimos posible. Una de estas aplicaciones se llama 'OpinionPoll' y pretende ser una aplicación de encuesta para recopilar opiniones sobre la disputa política entre Nepal e India. Otras aplicaciones tenían capacidades amenazadoras ya implementadas, pero aún mostraban signos de que se necesita más trabajo antes de que se terminen.

Esta no es la primera vez que SideWind APT ha empleado herramientas de malware móviles en sus actividades. Anteriormente, se ha observado que implementan aplicaciones amenazantes que pretenden ser administradores de archivos de herramientas de fotografía. Una vez que el usuario los ha descargado, las aplicaciones SideWind APT aprovecharon el exploit CVE-2019-2215 y las vulnerabilidades MediaTek-SU para obtener privilegios de root en el dispositivo comprometido.

Deja una Respuesta

NO use este sistema de comentarios para soporte o preguntas de facturación. Para problemas de facturación, consulte nuestra página "¿ Preguntas o problemas de facturación?". Para problemas de facturación, consulte nuestra página "Preguntas o Problemas de Facturación?". Para consultas generales (quejas, legal, prensa, marketing, derechos de autor), visite nuestra página "Consultas y Comentarios".


HTML no está permitido.