Nedělat APT

DoNot, také známý v komunitě infosec jako APT-C-35 a SectorE02, je skupina hackerů s pokročilými perzistentními hrozbami (APT), jejichž aktivity lze vysledovat několik let zpět až do roku 2012. Během tohoto období se skupina rozšířila její operace zahrnují širokou škálu cílů na několika kontinentech – Bangladéš, Thajsko, Srí Lanka, Filipíny, Argentina, Spojené arabské emiráty a Velká Británie. Od začátku se jejich hlavní pozornost soustředila na region jižní Asie a Pákistán, Indii a kašmírskou krizi , konkrétněji.

Hlavní specializací skupiny je provádění kyberšpionáže a krádeží dat. DoNot APT používá hrozivý arzenál složený z jeho vlastních malwarových nástrojů. Většina kampaní zahrnuje složitý řetězec připojení, který zahrnuje několik zavaděčů a před dodáním konečného užitečného obsahu malwaru prochází několika fázemi. Hackeři DoNot také prokázali schopnost inovovat a vylepšovat své malwarové nástroje, neustále je vybavovat novými funkcemi nebo využívat sofistikovanější techniky.

Ve většině svých útoků hackeři DoNot APT používají servery Command-and-Control (C2, C&C) pronajaté od DigitalOcean, LLC (ASN 14061) a umístěné v Amsterdamu. Pro každý nový název domény je rezervován nově přidělený hostitel.

Komplexní útok na řetěz zahrnující vlastní malware

I když to není přesvědčivé, existuje dostatek nepřímých důkazů, že počátečním kompromisním vektorem skupiny je šíření phishingových e-mailů obsahujících dokumenty MS Word ve formátu Office Open XML. Prvotní dokument není ohrožující, ale zneužívá funkci automatického načítání externích prvků k zahájení další fáze řetězce útoků.

Během procesu je na kompromitovaný systém shozeno několik nakladačů, z nichž každý má za úkol jiný cíl. Například v konkrétní kampani se trojský kůň Serviceflow.exe choval jako hlídací pes shromažďující a ukládající následující informace – jméno uživatele a počítače, verzi operačního systému, podrobnosti o procesoru, \Program Files a \Program Files (86)\ podrobnosti o obsahu. Je také zodpovědný za stahování a nasazování souborů A64.dll a sinter.exe. Sinter je další trojský kůň, ale jeho funkčnost se výrazně liší. Informuje aktéry hrozby o aktuální infekci odesláním požadavku na konkrétní URL a zároveň exfiltruje shromážděné informace o kompromitovaném systému na 'skillsnew[.]top.' Tyto informace mají hackerům pomoci určit, zda je cíl hodný dalšího zneužití.

Neustálý vývoj malwarových nástrojů

DoNot APT při mnoha příležitostech prokázal své trvalé zaměření na opakování a zlepšování. Snahu lze snadno vidět na různých verzích nakladačů používaných skupinou. V dřívějších verzích, před polovinou roku 2018, byly všechny použité řetězce uloženy v čistém textu, zatímco v následujících verzích se začaly zavádět různé úrovně šifrování:

• Květen 2018 - zakódováno pomocí Base64
• Duben 2019 - dvojité kódování Base64
• Leden 2019 - šifrování pomocí algoritmu AES v režimu CBS s následným kódováním Base64.
• Červen 2019 – kruhové odčítání symbol po symbolu s nastaveným polem bajtů, kódování pomocí UTF-8 a následované kódováním Base64
• Říjen 2019 – kruhově modifikovaný XOR symbol po symbolu s nastaveným polem bajtů, následovaným dvojitým kódováním Base64

V poslední pozorované operaci provedené DoNot APT skupina nasadila nový zavaděč malwaru pro Android s názvem Firestarter Trojan . Malwarová hrozba byla navržena tak, aby zneužila legitimní službu s názvem Firebase Cloud Messaging (FCM), kterou poskytuje dceřiná společnost Google. Služba představuje multiplatformní cloudové řešení pro zprávy a upozornění pro Android, iOS a další webové aplikace.

Zavaděč Firestarter využíval FCM jako komunikační metodu se svými servery C2. Použití efektivní služby značně ztěžuje detekci abnormálního provozu, protože se mísí s další běžnou generovanou komunikací.