Malware LoptikMod
Objevila se nová kampaň připisovaná skupině DoNot APT, která ukazuje použití nenápadného a perzistentního kmene malwaru s názvem LoptikMod. Tento nástroj byl zneužit při cíleném útoku na evropské ministerstvo zahraničních věcí, což dále naznačuje, že se skupina přesouvá zaměřování mimo jižní Asii.
Obsah
Známý aktér hrozby s rozšiřujícím se dosahem
Kampaň je spojována s DoNot Teamem, sofistikovanou skupinou Advanced Persistent Threat (APT) známou pod různými přezdívkami, včetně APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 a Viceroy Tiger. Skupina, jejíž operace sahají přinejmenším do roku 2016, má zdokumentovanou historii útoků na vládní agentury, ministerstva zahraničí, obranné subjekty a nevládní organizace, zejména v jižní Asii a Evropě.
Historicky DoNot APT používal malware na míru, zejména YTY a GEdit, často nasazovaný prostřednictvím phishingových kampaní a škodlivých dokumentových příloh.
Lákání cíle: Phishing jako vstupní bod
Útok začíná klamavým phishingovým e-mailem, který je vytvořen tak, aby vypadal legitimně a důvěryhodně. Tyto zprávy, odeslané z účtu Gmail, se vydávají za představitele ministerstva obrany a obsahují předmět odkazující na návštěvu italského obranného přidělence v Dháce v Bangladéši. Je pozoruhodné, že e-maily jsou formátovány pomocí HTML s kódováním UTF-8, aby se speciální znaky, jako je „é“, správně vykreslily, což zvyšuje jejich autenticitu.
Odkaz na Disk Google vložený do e-mailu vede ke stažení archivu RAR. Tento archiv obsahuje škodlivý spustitelný soubor, který napodobuje soubor PDF. Po otevření spustitelný soubor spustí nasazení LoptikMod, trojského koně pro vzdálený přístup (RAT), který je exkluzivní pro DoNot APT přinejmenším od roku 2018.
Uvnitř malwaru LoptikMod
Po spuštění se LoptikMod vloží do hostitelského systému pomocí naplánovaných úloh pro zajištění trvalosti. Poté se připojí ke vzdálenému serveru velení a řízení (C2) a provádí různé škodlivé aktivity. Mezi ně patří:
- Odeslání systémových informací zpět útočníkům
- Příjem a provádění dalších příkazů
- Stahování dalších škodlivých modulů
- Únik citlivých dat
Aby se zabránilo odhalení a ztížila se forenzní analýza, LoptikMod používá techniky anti-VM (virtuální stroje) a ASCII obfuscation, což bezpečnostním výzkumníkům ztěžuje analýzu jeho plné funkčnosti. Navíc zajišťuje, že na zařízení běží vždy pouze jedna instance, čímž se předchází vnitřním konfliktům a snižuje se pravděpodobnost odhalení.
Aktuální stav kampaně a infrastruktura
Ačkoliv je LoptikMod sám o sobě schopný a trvalý, server C2 zapojený do posledního útoku je momentálně neaktivní. Tato nečinnost by mohla znamenat, že infrastruktura byla dočasně odpojena od sítě, trvale vypnuta nebo nahrazena novým, neobjeveným serverem.
Neaktivní stav serveru omezuje schopnost výzkumníků analyzovat přesné příkazy a data vyměňovaná mezi infikovanými koncovými body a útočníky.
Známky strategického posunu: Evropské cíle v centru pozornosti
Nejnovější aktivita skupiny DoNot APT vykazuje známky vývoje. Zatímco se skupina tradičně zaměřovala na zájmy jižní Asie, tato nedávná operace ukazuje rostoucí zájem o evropské diplomatické zpravodajské služby, zejména v souvislosti s jižní Asií.
Tato změna pravděpodobně naznačuje posílené operační schopnosti a ambicióznější zpravodajské cíle. Manažéři skupiny se mohou snažit získat informace o západních diplomatických strategiích, obranné politice a mezinárodních angažmá v jižní Asii.
Klíčové poznatky
Aby organizace mohly účinně zmírnit takové útoky, měly by začít tím, že budou své zaměstnance vzdělávat v rozpoznávání pokusů o phishing, a to i v případě, že se zprávy zdají být vysoce legitimní. Stejně důležité je neustále monitorovat systémy, zda se v nich nevyskytuje neobvyklé chování, jako jsou neočekávané naplánované úlohy nebo odchozí připojení k neznámým serverům, což může naznačovat kompromitaci.
Implementace nástrojů pro sandboxing a behaviorální analýzu navíc může pomoci detekovat a neutralizovat podezřelé spustitelné soubory dříve, než způsobí škodu. Udržování systémů plně aktualizovaných a začleňování nejnovějších informací o hrozbách zajišťuje, že známé zranitelnosti jsou včas řešeny. Segmentace sítě může nakonec výrazně snížit riziko šíření malwaru laterálně, a tím účinněji omezit potenciální narušení.
Závěr: Bdělost je nezbytná
Nasazení LoptikModu skupinou DoNot APT v evropské kybernetické špionážní kampani je drsnou připomínkou vyvíjejícího se prostředí hrozeb. Vzhledem k tomu, že skupiny APT nadále vylepšují své nástroje a rozšiřují své cílení, zejména na vysoce cenné diplomatické prostředky, musí organizace zůstat ostražité a proaktivní ve své kybernetické obraně.
