Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер LoptikMod Зловреден софтуер

LoptikMod Зловреден софтуер

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Появи се нова кампания, приписвана на групата DoNot APT, демонстрираща използването на скрит и устойчив щам на зловреден софтуер, наречен LoptikMod. Този инструмент е бил използван в целенасочена атака срещу европейско министерство на външните работи, което допълнително показва, че фокусът на групата се измества отвъд Южна Азия.

Известен хакер с разширяващ се обхват

Кампанията е свързана с екипа DoNot, сложна група за усъвършенствани постоянни заплахи (APT), известна с различни псевдоними, включително APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 и Viceroy Tiger. С операции, датиращи поне от 2016 г., групата има документирана история на нападения срещу правителствени агенции, външни министерства, отбранителни организации и неправителствени организации, особено в Южна Азия и Европа.

В исторически план DoNot APT е използвал персонализиран зловреден софтуер, по-специално YTY и GEdit, често внедряван чрез фишинг кампании и злонамерени прикачени файлове към документи.

Примамване на целта: Фишинг като входна точка

Атаката започва с подвеждащ фишинг имейл, създаден да изглежда легитимен и надежден. Тези съобщения, изпратени от Gmail акаунт, се представят за служители на отбраната и съдържат теми, в които се споменава посещение на италиански аташе по отбраната в Дака, Бангладеш. Важно е да се отбележи, че имейлите са форматирани с HTML с UTF-8 кодиране, за да се изобразят правилно специални символи като „é“, което допринася за тяхната автентичност.

Вградена в имейла връзка към Google Drive води до изтегляне на RAR архив. Този архив съдържа злонамерен изпълним файл, предназначен да имитира PDF файл. При отваряне изпълнимият файл инициира внедряването на LoptikMod, троянски кон за отдалечен достъп (RAT), който е ексклузивен за DoNot APT поне от 2018 г.

Вътре в зловредния софтуер LoptikMod

След като бъде изпълнен, LoptikMod се вгражда в хост системата, използвайки планирани задачи за запазване на данните. След това се свързва с отдалечен сървър за командване и контрол (C2), за да извършва различни злонамерени дейности. Те включват:

  • Изпращане на системна информация обратно към нападателите
  • Получаване и изпълнение на допълнителни команди
  • Изтегляне на допълнителни злонамерени модули
  • Извличане на чувствителни данни

За да избегне откриване и да затрудни криминалистичния анализ, LoptikMod използва техники против VM (виртуални машини) и ASCII обфускация, което затруднява изследователите по сигурността да анализират пълната му функционалност. Освен това, той гарантира, че само един екземпляр работи на устройството по всяко време, предотвратявайки вътрешни конфликти и намалявайки вероятността за откриване.

Текущо състояние на кампанията и инфраструктура

Въпреки че самият LoptikMod е способен и устойчив, C2 сървърът, участвал в последната атака, в момента е неактивен. Тази неактивност може да означава, че инфраструктурата е била временно изключена от мрежата, окончателно изключена или заменена от нов, неоткрит сървър.

Неактивният статус на сървъра ограничава способността на изследователите да анализират точните команди и данни, обменяни между заразените крайни точки и нападателите.

Признаци на стратегическа промяна: Европейски цели във фокус

Последната дейност на DoNot APT показва признаци на еволюция. Докато групата традиционно се е концентрирала върху интересите на Южна Азия, тази скорошна операция демонстрира нарастващ интерес към европейското дипломатическо разузнаване, особено свързано с Южна Азия.

Тази промяна вероятно показва подобрени оперативни възможности и по-амбициозни разузнавателни цели. Служителите на групата може да търсят информация за западните дипломатически стратегии, отбранителни политики и международни ангажименти с Южна Азия.

Ключови изводи

За да смекчат ефективно подобни атаки, организациите трябва да започнат с обучение на персонала си да разпознава опитите за фишинг, дори когато съобщенията изглеждат напълно легитимни. Също толкова важно е непрекъснато да се наблюдават системите за необичайно поведение, като например неочаквани планирани задачи или изходящи връзки към непознати сървъри, което може да е признак за компрометиране.

Освен това, внедряването на инструменти за пясъчник и поведенчески анализ може да помогне за откриване и неутрализиране на подозрителни изпълними файлове, преди да причинят вреда. Поддържането на системите с пълна актуализация и включването на най-новите данни за заплахи гарантира, че известните уязвимости се отстраняват своевременно. И накрая, сегментирането на мрежата може значително да намали риска от странично разпространение на зловреден софтуер, като по този начин по-ефективно ограничава потенциалните нарушения.

Заключение: Бдителността е от съществено значение

Разгръщането на LoptikMod от групата DoNot APT в европейска кампания за кибершпионаж е сурово напомняне за променящия се пейзаж на заплахите. Тъй като APT групите продължават да усъвършенстват инструментите си и да разширяват насочването си, особено към високоценни дипломатически активи, организациите трябва да останат бдителни и проактивни в своята киберсигурност.

Тенденция

Unmatiotorly.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Измамниците непрекъснато измислят нови начини да подведат интернет потребителите. Много от тези схеми не разчитат на сложен зловреден софтуер, а вместо това експлоатират доверието и пропуските в...

Най-гледан

Зареждане...