SideWind APT

Description de SideWind APT

SideWind est le nom attribué à un groupe de pirates informatiques Advanced Persistent Threat (APT) qui ont manifesté un intérêt durable pour la région de l'Asie du Sud. Le groupe est actuellement engagé dans une campagne d'attaque à large portée contre des cibles dans cette même région. Plus précisément, les hackers tentent de compromettre des entités situées principalement au Népal et en Afghanistan. Les cibles confirmées comprennent l'armée népalaise, les ministères népalais de la défense et des affaires étrangères, le ministère sri-lankais de la défense, le Conseil national de sécurité afghan et le palais présidentiel en Afghanistan. Dans ses opérations, SideWind APT démontre sa capacité à intégrer rapidement des événements mondiaux et des problèmes politiques spécifiques à la région de l'Asie du Sud dans leurs campagnes de phishing et de logiciels malveillants. Le groupe a déjà profité de la pandémie COVID-19 dans plusieurs opérations menaçantes, tandis que la dernière campagne comprend également des liens vers un article intitulé "L'Inde devrait réaliser que la Chine n'a rien à voir avec la position du Népal sur Lipulekh'' et un document intitulé "Ambassadeur Yanchi Conversation avec Nepali_Media.pdf." Le document contient une interview de l'ambassadeur de Chine au Népal concernant COVID-19, l'initiative Belt, Road et la question territoriale dans le district de Humla.

Vol d'informations d'identification et e-mails de phishing

L'opération SideWind APT actuellement en cours implique plusieurs vecteurs d'attaque qui visent à atteindre plusieurs objectifs distincts. Tout d'abord, SideWind APT a créé des copies falsifiées des pages de connexion réelles dans le but de collecter les informations d'identification des utilisateurs ciblés. Par exemple, les chercheurs d'Infosec ont découvert que «mail-nepalgovnp.duckdns.org» a été créé pour se faire passer pour le domaine légitime du gouvernement népalais situé à «mail.nepal.gov.np». Une fois les informations d'identification collectées, les victimes ont été redirigées vers les pages de connexion réelles ou vers les documents mentionnés précédemment traitant des problèmes liés aux boutons chauds.

L'autre aspect de l'attaque de SideWind APT implique la distribution de logiciels malveillants - une menace de porte dérobée et un collecteur d'informations, via la diffusion d'e-mails de phishing. L'infection implique une chaîne d'attaque complexe qui contient plusieurs étapes et plusieurs compte-gouttes. L'attaque pourrait suivre deux scénarios différents:

  • Livraison initiale d'un fichier .lnk qui télécharge un fichier .rtf et un fichier JavaScript
  • Livraison initiale d'une archive .zip contenant un fichier .lnk menaçant. Le .lnk lance la phase suivante de l'attaque en récupérant un fichier .hta avec JavaScript

Les fichiers .rtf exploitent la vulnérabilité CVE-2017-11882, qui permet à l'acteur de la menace d'exécuter du code de menace arbitraire sur l'appareil sans aucune intervention de l'utilisateur. Bien que cet exploit particulier ait été corrigé en 2017, les cybercriminels l'utilisent toujours car il peut affecter toute version non corrigée de Microsoft Office, Microsoft Windows et les types d'architecture remontant à 2000.

Cependant, dans les deux cas d'attaque, l'objectif final est atteint grâce aux fichiers JavaScript qui agissent comme un compte-gouttes pour les charges utiles des logiciels malveillants.

Lorsqu'ils sont entièrement déployés, les outils de menace de SideWind APT peuvent collecter divers types d'informations, ainsi qu'exfiltrer des fichiers sélectionnés vers l'infrastructure de commande et de contrôle (C2, C&C) du groupe. Les données collectées comprennent les détails du compte utilisateur, les informations système, les processus en cours d'exécution, les détails du processeur, les détails du système d'exploitation, les détails du réseau, les programmes antivirus installés, les privilèges, les détails de tous les lecteurs connectés et les applications installées. La menace du collecteur de données répertorie également tous les répertoires dans quatre emplacements spécifiques:

  • Utilisateurs \% USERNAME% \ Desktop,
  • Utilisateurs \% USERNAME% \ Downloads,
  • Utilisateurs \% USERNAME% \ Documents,
  • Utilisateurs \% USERNAME% \ Contacts

Une campagne mobile est en cours de construction

SideWind APT a également une campagne d'attaque en préparation qui ciblera les appareils mobiles des utilisateurs. Plusieurs applications ont déjà été découvertes, toutes étant dans un état inachevé. Certains ne contenaient pas encore de code menaçant mais étaient conçus pour paraître aussi légitimes que possible. L'une de ces applications est appelée «OpinionPoll» et prétend être une application d'enquête pour recueillir des opinions sur le conflit politique entre le Népal et l'Inde. D'autres applications avaient déjà mis en œuvre des capacités menaçantes, mais montraient encore des signes indiquant que davantage de travail était nécessaire avant de les terminer.

Ce n'est pas la première fois que SideWind APT utilise des logiciels malveillants mobiles dans ses activités. Auparavant, ils ont été observés pour déployer des applications menaçantes faisant semblant de gestionnaire de fichiers d'outils de photographie. Une fois que l'utilisateur les a téléchargés, les applications SideWind APT ont exploité l'exploit CVE-2019-2215 et les vulnérabilités MediaTek-SU pour obtenir les privilèges root sur l'appareil compromis.

Laisser une Réponse

Veuillez ne pas utiliser ce système de commentaires pour des questions de soutien ou de facturation. Pour les demandes d'assistance technique de SpyHunter, veuillez contacter directement notre équipe d'assistance technique en ouvrant un ticket d'assistance via votre SpyHunter. Pour des problèmes de facturation, veuillez consulter notre page «Questions de facturation ou problèmes?". Pour des renseignements généraux (plaintes, juridique, presse, marketing, droit d’auteur), visitez notre page «Questions et commentaires».


Le HTML n'est pas autorisé.