Llicències per a diversos dispositius (descomptes per volum)
Threat Database Advanced Persistent Threat (APT) No APT

No APT

El GoldSparrow el Advanced Persistent Threat (APT)
Traduir a:
Català

DoNot, també conegut a la comunitat infosec com APT-C-35 i SectorE02, és un grup de pirates informàtics d'amenaça persistent avançada (APT) les activitats dels quals es poden rastrejar diversos anys fins al 2012. Durant aquest període, el grup s'ha expandit. les seves operacions inclouen una àmplia gamma d'objectius que abasten diversos continents: Bangla Desh, Tailàndia, Sri Lanka, Filipines, Argentina, Emirats Àrabs Units i Gran Bretanya. Des del principi, el seu enfocament principal s'ha mantingut a la regió del sud d'Àsia i al Pakistan, l'Índia i la crisi del Caixmir , més concretament.

La principal especialització del grup és la realització de ciberespionatge i robatori de dades. El DoNot APT utilitza un arsenal amenaçador format per les seves pròpies creacions d'eines de programari maliciós. La majoria de campanyes impliquen una cadena de connexió complexa que implica diversos carregadors i passa per diverses etapes abans de l'entrega de la càrrega útil final del programari maliciós. Els pirates informàtics de DoNot també han demostrat la capacitat d'innovar i millorar les seves eines de programari maliciós, dotant-los constantment de noves funcionalitats o aprofitant tècniques més sofisticades.

En la majoria dels seus atacs, els pirates informàtics DoNot APT utilitzen servidors Command-and-Control (C2, C&C) llogats a DigitalOcean, LLC (ASN 14061) i situats a Amsterdam. Per a cada nom de domini nou, s'està reservant un amfitrió recentment assignat.

Encadenament d'atacs complexos amb programari maliciós personalitzat

Encara que no són concloents, hi ha prou evidències circumstancials que el vector de compromís inicial del grup és la difusió de correus electrònics de pesca que porten documents MS Word en format Office Open XML. El document inicial no és amenaçador, però abusa de la funcionalitat de càrrega automàtica dels elements externs per iniciar la següent etapa de la cadena d'atac.

Diversos carregadors es col·loquen al sistema compromès durant el procés, cadascun amb una tasca diferent. Per exemple, en una campanya específica, el troià Serviceflow.exe actuava com a gos vigilant recopilant i emmagatzemant la informació següent: nom d'usuari i ordinador, versió del sistema operatiu, detalls del processador, detalls del contingut de \Arxius de programa i \Fitxers de programa (86)\ . També és responsable de descarregar i desplegar els fitxers A64.dll i sinter.exe. Sinter és un altre troià, però la seva funcionalitat és molt diferent. Informa els actors de l'amenaça sobre la infecció actual enviant una sol·licitud a una URL específica alhora que exfiltra la informació recollida sobre el sistema compromès a "skillsnew[.]top". La informació està destinada a ajudar els pirates informàtics a determinar si l'objectiu és digne de ser explotat.

Desenvolupament constant d'eines de programari maliciós

El DoNot APT ha demostrat en nombroses ocasions el seu constant enfocament en la iteració i la millora. Els esforços es poden veure fàcilment en diferents versions de carregador emprades pel grup. En les versions anteriors, abans de mitjan 2018, totes les cadenes utilitzades s'emmagatzemaven en text clar, mentre que en les versions posteriors s'havien començat a introduir diversos nivells de xifratge:

  • Maig de 2018: codificada amb Base64
  • Abril de 2019: doble codificació Base64
  • Gener de 2019: xifratge amb l'algorisme AES en mode CBS seguit de codificació Base64.
  • Juny de 2019: resta circular símbol per símbol amb la matriu de bytes establerta, codificació amb UTF-8 i seguida de codificació Base64
  • Octubre de 2019: XOR modificat circular símbol per símbol amb la matriu de bytes establerta, seguida d'una doble codificació Base64

En l'última operació observada realitzada pel DoNot APT, el grup va desplegar un nou carregador de programari maliciós per a Android anomenat Firestarter Trojan . L'amenaça de programari maliciós va ser dissenyada per abusar d'un servei legítim anomenat Firebase Cloud Messaging (FCM), proporcionat per una filial de Google. El servei representa una solució en núvol multiplataforma per a missatges i notificacions per a Android, iOS i altres aplicacions web.

El carregador de Firestarter va explotar FCM com a mètode de comunicació amb els seus servidors C2. L'ús d'un servei efectiu fa que la detecció del trànsit anormal sigui molt més difícil, ja que es combina amb les altres comunicacions normals que es generen.

Tendència

Més vist

Carregant...