لا تستخدم APT

DoNot ، المعروف أيضًا في مجتمع infosec باسم APT-C-35 و SectorE02 ، هو مجموعة من المتسللين المتقدمين والمستمر (APT) الذين يمكن تتبع أنشطتهم عدة سنوات حتى عام 2012. خلال تلك الفترة ، توسعت المجموعة تشمل عملياتها مجموعة واسعة من الأهداف تمتد عبر عدة قارات - بنغلاديش وتايلاند وسريلانكا والفلبين والأرجنتين والإمارات العربية المتحدة وبريطانيا العظمى. منذ البداية ، ظل تركيزهم الرئيسي على منطقة جنوب آسيا وباكستان والهند وأزمة كشمير ، بشكل أكثر تحديدًا.

التخصص الرئيسي للمجموعة هو إجراء التجسس الإلكتروني وسرقة البيانات. تستخدم DoNot APT ترسانة تهديد تتكون من إبداعاتها الخاصة بأدوات البرمجيات الخبيثة. تتضمن معظم الحملات سلسلة إرفاق معقدة تتضمن العديد من برامج التحميل وتمر بمراحل متعددة قبل تسليم حمولة البرامج الضارة النهائية. أظهر قراصنة DoNot أيضًا القدرة على ابتكار أدوات البرامج الضارة وتحسينها ، وتزويدهم بوظائف جديدة باستمرار أو الاستفادة من تقنيات أكثر تعقيدًا.

في معظم هجماته ، يستخدم قراصنة DoNot APT خوادم الأوامر والتحكم (C2 ، C&C) المستأجرة من DigitalOcean، LLC (ASN 14061) والموجودة في أمستردام. لكل اسم مجال جديد ، يتم حجز مضيف مخصص حديثًا.

هجوم متسلسل معقد يتضمن برامج ضارة مخصصة

على الرغم من عدم وجود أدلة قاطعة ، إلا أن هناك أدلة ظرفية كافية على أن ناقل التسوية الأولي للمجموعة هو نشر رسائل البريد الإلكتروني المخادعة التي تحمل مستندات MS Word بتنسيق Office Open XML. لا يمثل المستند الأولي تهديدًا ، ولكنه يسيء استخدام وظيفة التحميل التلقائي للعناصر الخارجية لبدء المرحلة التالية من سلسلة الهجوم.

يتم إسقاط عدة لوادر على النظام المخترق أثناء العملية ، كل منها مهمته هدف مختلف. على سبيل المثال ، في حملة معينة ، كان حصان طروادة Serviceflow.exe بمثابة مراقب يجمع المعلومات التالية ويخزنها - اسم المستخدم والكمبيوتر وإصدار نظام التشغيل وتفاصيل المعالج و \ Program Files و \ Program Files (86) \ تفاصيل المحتوى. كما أنها مسؤولة عن تنزيل ونشر ملفات A64.dll و sinter.exe. Sinter هو حصان طروادة آخر ، لكن وظائفه مختلفة بشكل كبير. يقوم بإبلاغ الجهات المهددة بالعدوى الحالية عن طريق إرسال طلب إلى عنوان URL محدد بينما تقوم أيضًا بسحب المعلومات التي تم جمعها حول النظام المخترق إلى "المهارات الجديدة [.] أعلى". تهدف المعلومات إلى مساعدة المتسللين على تحديد ما إذا كان الهدف يستحق مزيدًا من الاستغلال.

التطوير المستمر لأدوات البرمجيات الخبيثة

أظهرت DoNot APT في مناسبات عديدة تركيزها المستمر على التكرار والتحسين. يمكن رؤية الجهود بسهولة في إصدارات اللودر المختلفة التي تستخدمها المجموعة. في الإصدارات السابقة ، قبل منتصف عام 2018 ، تم تخزين جميع السلاسل المستخدمة في نص واضح ، بينما في الإصدارات اللاحقة ، بدأ تقديم مستوى مختلف من التشفير:

• مايو 2018 - تم ترميزه باستخدام Base64
• أبريل 2019 - تشفير Base64 مزدوج
• يناير 2019 - التشفير باستخدام خوارزمية AES في وضع CBS متبوعًا بتشفير Base64.
• يونيو 2019 - الطرح الدائري رمزًا برمز مع مجموعة محددة من البايتات ، والتشفير باستخدام UTF-8 ، متبوعًا بتشفير Base64
• أكتوبر 2019 - تعديل XOR بشكل دائري رمزيًا برمز مع مجموعة مجموعة من البايت ، متبوعة بتشفير Base64 المزدوج

في أحدث عملية مراقبة أجرتها DoNot APT ، نشرت المجموعة أداة تحميل برامج ضارة جديدة على نظام Android باسم Firestarter Trojan . تم تصميم تهديد البرامج الضارة لإساءة استخدام خدمة شرعية تسمى Firebase Cloud Messaging (FCM) ، والتي تقدمها شركة تابعة لـ Google. تمثل الخدمة حلاً سحابيًا عبر الأنظمة الأساسية للرسائل والإشعارات لنظام Android و iOS وتطبيقات الويب الأخرى.

استغل محمل Firestarter FCM كطريقة اتصال مع خوادم C2 الخاصة به. يؤدي استخدام خدمة فعالة إلى زيادة صعوبة اكتشاف حركة المرور غير الطبيعية ، حيث يتم مزجها مع الاتصالات العادية الأخرى التي يتم إنشاؤها.