Nhóm tấn công dai dẳng nâng cao (APT) Sidewinder APT nổi tiếng đã điều chỉnh chiến thuật của mình để khai thác các cuộc biểu tình đang diễn ra ở Nepal, triển khai một chiến dịch phối hợp gồm mã độc di động và Windows cùng với tấn công lừa đảo lấy thông tin đăng nhập. Bằng cách mạo danh các tổ chức và nhân vật quốc gia đáng kính, nhóm này tìm cách thu thập dữ liệu nhạy cảm từ những người dùng theo dõi tình hình chính trị hỗn loạn của quốc gia.

Các cuộc biểu tình, bùng phát do lệnh cấm mạng xã hội của chính phủ và các cáo buộc tham nhũng, đã dẫn đến hàng chục người thiệt mạng và sự ra đi của các lãnh đạo chủ chốt, tạo ra mảnh đất màu mỡ cho các cuộc khai thác kỹ thuật xã hội.

Chiến dịch Tấn công Phishing Lấy Cắp Thông tin

Trong một phần của chiến dịch, các tác nhân Sidewinder APT đã tạo ra mồi nhử phishing mạo danh Dịch vụ Khẩn cấp Nepal. Nạn nhân nhận được tin nhắn được cho là từ những người phản ứng khẩn cấp, với một mẫu email thuyết phục và một tên miền giả mạo, thúc giục người dùng nhập thông tin đăng nhập của họ vào một cổng thông tin lừa đảo.

Khi thông tin đăng nhập được gửi đi, kẻ tấn công có quyền truy cập vào các tài khoản cá nhân và doanh nghiệp, sau đó được sử dụng để tiếp tục xâm nhập hệ thống. Đây là một phương pháp phổ biến trong các cuộc tấn công mạng nhắm vào thông tin nhạy cảm.

Mã độc Di động: Gen_Ashok_Sigdel_Live.apk và Emergency_Help.apk

Đồng thời, Sidewinder APT đã tung ra một chủng mã độc Android bằng cách khai thác hình ảnh của Tướng Ashok Sigdel, quyền đứng đầu Nepal tính đến tháng 9 năm 2025. Người dùng tìm kiếm các bản cập nhật hoặc tuyên bố từ tướng quân sẽ được hướng dẫn cài đặt một tệp APK có tên Gen_Ashok_Sigdel_Live.apk.

Kỹ thuật Lây nhiễm và Hoạt động

Ứng dụng giả mạo này hiển thị các nguồn cấp tin tức và luồng video trực tiếp trông hợp pháp, che giấu hành vi độc hại của nó. Khi được cấp các quyền yêu cầu, mã độc bắt đầu âm thầm thu thập tài liệu, hình ảnh và các tệp khác từ thiết bị, sau đó truyền chúng về điểm điều khiển và kiểm soát (C2) tại playservicess.com.

Phân tích đảo ngược tệp APK cho thấy mã độc có các quy trình để liệt kê tệp và truyền dữ liệu được mã hóa. Một mẫu Android khác, Emergency_Help.apk, cũng hoạt động tương tự như Gen_Ashok_Sigdel_Live.apk, mở rộng phạm vi tiếp cận của nhóm tới nhiều phân khúc người dùng di động.

Bạn có thể tìm hiểu thêm về các loại mã độc Android tương tự qua liên kết này: Busygasper Android Malware Stealing Data.

Mã độc Windows: EmergencyApp.exe

Thành phần tập trung vào Windows của Sidewinder APT sử dụng một dropper có tên EmergencyApp.exe, mô phỏng một ứng dụng khẩn cấp chính thức của Nepal. Khi được thực thi, nó cài đặt một backdoor quét dữ liệu có giá trị cao trong các thư mục người dùng và cấu hình hệ thống.

Nạn nhân của các payload này thường lần đầu tiên gặp một trang web giả mạo “Emergency Helpline” chứa các liên kết đến cả APK Android và EXE Windows. Để biết thêm thông tin về cách Sidewinder APT tận dụng các cuộc biểu tình, hãy tham khảo phân tích từ StrikeReady.

Các Chỉ số Thỏa hiệp (IOCs) và Dấu hiệu Lây nhiễm

Các nhà bảo vệ đang điều tra các dấu hiệu lây nhiễm Sidewinder APT tiềm ẩn cần lưu ý một số dấu hiệu chính:

Chỉ số Thỏa hiệp (IOCs)

• Tên miền Command-and-Control (C2):playservicess.com
• Tên tệp APK độc hại:Gen_Ashok_Sigdel_Live.apk
• Tên tệp APK độc hại thứ hai:Emergency_Help.apk
• Tên tệp thực thi Windows độc hại:EmergencyApp.exe
• Đường dẫn webserver dùng cho exfiltration:/ghijkl/ghijkl/index.php

Dấu hiệu Lây nhiễm trên Hệ thống

Đối với các thiết bị di động bị xâm nhập, các nhà điều tra có thể tìm thấy nhật ký cài đặt ứng dụng tham chiếu đến các tệp APK độc hại.

Trên các máy chủ Windows, các đường dẫn Portable Database (PDB) như sau có thể chỉ ra các phần còn sót lại từ quá trình phát triển được nhúng trong EmergencyApp.exe:

C:Users<username>DocumentsVisual Studio 2017ProjectsEmergencyAppReleaseEmergencyApp.pdb

Các dữ liệu thu thập được từ mạng trong môi trường bị lây nhiễm cho thấy các dấu hiệu đặc trưng như chuỗi “—-qwerty” được sử dụng trong các yêu cầu HTTP nhiều phần để truyền dữ liệu. Những dấu vết pháp y này vô cùng hữu ích cho các đội ứng phó sự cố trong việc ngăn chặn hành vi rò rỉ dữ liệu đang diễn ra.

Chiến lược Phòng thủ và Giảm thiểu Rủi ro

Các tổ chức có nhân sự theo dõi tình hình chính trị ở Nepal phải nâng cao nhận thức về các mồi nhử phishing được nhắm mục tiêu và thực thi các quy trình xác minh nghiêm ngặt trước khi cài đặt ứng dụng. Để chống lại Sidewinder APT, cần có các biện pháp bảo vệ toàn diện.

Biện pháp An ninh Chủ động

• Quản lý Thiết bị Di động (MDM): Triển khai các giải pháp MDM để hạn chế cài đặt các tệp APK không xác định.
• Endpoint Detection and Response (EDR): Sử dụng các công cụ EDR trên các tài sản Windows để phát hiện và phản ứng kịp thời với các mối đe dọa.
• Đào tạo Người dùng: Tổ chức các chiến dịch giáo dục người dùng thường xuyên về các chiến thuật mới nổi của Sidewinder APT để nâng cao khả năng phục hồi.

Giám sát Mạng và Phát hiện

Các nhà bảo vệ mạng nên cấu hình cảnh báo cho lưu lượng HTTP chứa "boundary=—-qwerty" và theo dõi các yêu cầu DNS đến playservicess.com. Việc cập nhật thông tin tình báo về mối đe dọa thường xuyên sẽ củng cố khả năng phòng thủ chống lại nhóm APT cơ hội này và giảm thiểu nguy cơ rò rỉ dữ liệu.