Не APT

DoNot, известен също в общността на infosec като APT-C-35 и SectorE02, е група хакери за напреднали постоянни заплахи (APT), чиито дейности могат да бъдат проследени няколко години назад чак до 2012 г. През този период групата се разшири операциите му да включват широк спектър от цели, обхващащи няколко континента - Бангладеш, Тайланд, Шри Ланка, Филипините, Аржентина, Обединените арабски емирства и Великобритания. Още от самото начало основният им фокус остава върху региона на Южна Азия и Пакистан, Индия и кризата в Кашмир , по-конкретно.

Основната специализация на групата е да извършва кибершпионаж и кражба на данни. DoNot APT използва заплашителен арсенал, състоящ се от собствени инструменти за злонамерен софтуер. Повечето кампании включват сложна верига за прикачване, която включва няколко зареждачи и преминава през множество етапи преди доставянето на крайния полезен товар от зловреден софтуер. Хакерите на DoNot също показаха способност да иновират и подобряват своите инструменти за зловреден софтуер, като постоянно ги оборудват с нови функционалности или се възползват от по-сложни техники.

В повечето от своите атаки хакерите на DoNot APT използват сървъри за командване и управление (C2, C&C), наети от DigitalOcean, LLC (ASN 14061) и разположени в Амстердам. За всяко ново име на домейн се резервира новоразпределен хост.

Сложно преследване на атаки, включващо персонализиран злонамерен софтуер

Въпреки че не са убедителни, има достатъчно косвени доказателства, че първоначалният компромис на групата е разпространението на фишинг имейли, носещи документи на MS Word във формат Office Open XML. Първоначалният документ не е заплашителен, но злоупотребява с функцията за автоматично зареждане на външни елементи, за да инициира следващия етап от веригата за атака.

Няколко товарачи се пускат в компрометираната система по време на процеса, като всеки има задача с различна цел. Например, в конкретна кампания, троянецът Serviceflow.exe действаше като пазач, събиращ и съхраняващ следната информация - име на потребител и компютър, версия на ОС, подробности за процесора, \Program Files и \Program Files (86)\ подробности за съдържанието. Той също така отговаря за изтеглянето и внедряването на файловете A64.dll и sinter.exe. Sinter е друг троянски кон, но функционалността му е значително различна. Той информира заплахите за текущата инфекция, като изпраща заявка до конкретен URL, като същевременно ексфилтрира събраната информация за компрометираната система до „skillsnew[.]top“. Информацията има за цел да помогне на хакерите да определят дали целта е достойна за по-нататъшна експлоатация.

Постоянно развитие на инструменти за злонамерен софтуер

DoNot APT е демонстрирал многократно, че продължава да се фокусира върху повторение и подобрение. Усилията могат лесно да се видят в различни версии на товарач, използвани от групата. В по-ранните версии, преди средата на 2018 г., всички използвани низове бяха съхранявани в чист текст, докато в следващите версии започнаха да се въвеждат различни нива на криптиране:

• Май 2018 г. - кодирано с Base64
• Април 2019 г. - двойно Base64 кодиране
• Януари 2019 г. - криптиране с алгоритъма AES в режим CBS, последвано от Base64 кодиране.
• Юни 2019 г. - кръгово изваждане символ по символ със зададения масив от байтове, кодиране с UTF-8 и последвано от Base64 кодиране
• Октомври 2019 г. - кръгово модифицирано XOR символ по символ със зададения масив от байтове, последвано от двойно Base64 кодиране

В последната наблюдавана операция, извършена от DoNot APT, групата внедри нов зареждач на зловреден софтуер за Android, наречен Firestarter Trojan . Заплахата от злонамерен софтуер е предназначена да злоупотребява с легитимна услуга, наречена Firebase Cloud Messaging (FCM), предоставена от дъщерно дружество на Google. Услугата представлява кросплатформено облачно решение за съобщения и известия за Android, iOS и други уеб приложения.

Зареждането на Firestarter използва FCM като метод за комуникация със своите C2 сървъри. Използването на ефективна услуга прави откриването на необичайния трафик много по-трудно, тъй като се смесва с другите нормални генерирани комуникации.