DoNot APT

DoNot, også kendt i infosec-fællesskabet som APT-C-35 og SectorE02, er en Advanced Persistent Threat (APT) gruppe af hackere, hvis aktiviteter kan spores flere år tilbage helt til 2012. I den periode har gruppen udvidet sig dets operationer omfatter en bred vifte af mål, der spænder over flere kontinenter - Bangladesh, Thailand, Sri Lanka, Filippinerne, Argentina, De Forenede Arabiske Emirater og Storbritannien. Lige fra starten har deres hovedfokus været på Sydasien-regionen og Pakistan, Indien og Kashmir-krisen , mere specifikt.

Gruppens hovedspecial er at drive cyberspionage og datatyveri. DoNot APT bruger et truende arsenal, der består af sine egne malwareværktøjsskabelser. De fleste kampagner involverer en kompleks tilknytningskæde, der involverer flere indlæsere og gennemgår flere stadier før leveringen af den endelige malware-nyttelast. DoNot-hackerne har også vist en evne til at innovere og forbedre deres malware-værktøjer, konstant at udstyre dem med nye funktionaliteter eller drage fordel af mere sofistikerede teknikker.

I de fleste af dets angreb bruger DoNot APT-hackere Command-and-Control (C2, C&C) servere lejet af DigitalOcean, LLC (ASN 14061) og placeret i Amsterdam. For hvert nyt domænenavn reserveres en nyligt tildelt vært.

Kompleks angreb Chaing, der involverer tilpasset malware

Selvom det ikke er afgørende, er der nok indicier for, at gruppens første kompromisvektor er spredningen af phishing-e-mails med MS Word-dokumenter i Office Open XML-format. Det indledende dokument er ikke truende, men det misbruger de eksterne elementers autoload-funktionalitet til at starte næste fase af angrebskæden.

Adskillige læssere falder ned på det kompromitterede system under processen, hver med et andet formål. For eksempel, i en specifik kampagne, fungerede Serviceflow.exe-trojaneren som en vagthund, der indsamlede og lagrede følgende oplysninger - bruger- og computernavn, OS-version, processordetaljer, \Program Files og \Program Files (86)\ indholdsdetaljer. Den er også ansvarlig for at downloade og implementere A64.dll- og sinter.exe-filerne. Sinter er en anden trojaner, men dens funktionalitet er væsentlig anderledes. Den informerer trusselsaktørerne om den aktuelle infektion ved at sende en anmodning til en specifik URL, mens den også eksfiltrerer de indsamlede oplysninger om det kompromitterede system til 'skillsnew[.]top.' Oplysningerne er beregnet til at hjælpe hackerne med at afgøre, om målet er værdigt til yderligere udnyttelse.

Konstant udvikling af malware-værktøjer

DoNot APT har ved adskillige lejligheder demonstreret sit fortsatte fokus på iteration og forbedring. Indsatsen kan nemt ses i forskellige læsserversioner, som koncernen anvender. I de tidligere versioner, før midten af 2018, blev alle de brugte strenge gemt i klartekst, mens man i de efterfølgende versioner var begyndt at introducere forskellige krypteringsniveauer:

• maj 2018 - kodet med Base64
• April 2019 - dobbelt Base64-kodning
• Januar 2019 - kryptering med AES-algoritmen i CBS-tilstand efterfulgt af Base64-kodning.
• Juni 2019 - symbol-for-symbol cirkulær subtraktion med det indstillede array af bytes, indkode med UTF-8 og efterfulgt af Base64-kodning
• Oktober 2019 - symbol-for-symbol cirkulært modificeret XOR med det indstillede array af bytes, efterfulgt af dobbelt Base64-kodning

I den seneste observerede operation udført af DoNot APT, implementerede gruppen en ny Android-malwareindlæser ved navn Firestarter Trojan . Malwaretruslen var designet til at misbruge en legitim tjeneste kaldet Firebase Cloud Messaging (FCM), leveret af et datterselskab af Google. Tjenesten repræsenterer en cross-platform cloud-løsning til beskeder og notifikationer til Android, iOS og andre webapplikationer.

Firestarter-indlæseren udnyttede FCM som en kommunikationsmetode med sine C2-servere. Brugen af en effektiv service gør detektionen af den unormale trafik meget sværere, da den blandes med den anden normale kommunikation, der genereres.