Άδειες χρήσης πολλών συσκευών (εκπτώσεις όγκου)
Threat Database Advanced Persistent Threat (APT) DoNot APT

DoNot APT

Μέχρι το GoldSparrow το Advanced Persistent Threat (APT)
Μετάφραση σε:
Ελληνικά

Το DoNot, γνωστό επίσης στην κοινότητα infosec ως APT-C-35 και SectorE02, είναι μια ομάδα hackers Advanced Persistent Threat (APT) των οποίων οι δραστηριότητες μπορούν να εντοπιστούν αρκετά χρόνια πριν μέχρι το 2012. Κατά τη διάρκεια αυτής της περιόδου, η ομάδα επεκτάθηκε οι δραστηριότητές της περιλαμβάνουν ένα ευρύ φάσμα στόχων που εκτείνονται σε διάφορες ηπείρους - Μπαγκλαντές, Ταϊλάνδη, Σρι Λάνκα, Φιλιππίνες, Αργεντινή, Ηνωμένα Αραβικά Εμιράτα και Μεγάλη Βρετανία. Από την αρχή, η κύρια εστίασή τους παρέμεινε στην περιοχή της Νότιας Ασίας και στο Πακιστάν, την Ινδία και την κρίση στο Κασμίρ , πιο συγκεκριμένα.

Η κύρια εξειδίκευση της ομάδας είναι η διεξαγωγή κυβερνοκατασκοπείας και κλοπής δεδομένων. Το DoNot APT χρησιμοποιεί ένα απειλητικό οπλοστάσιο που αποτελείται από τις δικές του δημιουργίες εργαλείων κακόβουλου λογισμικού. Οι περισσότερες καμπάνιες περιλαμβάνουν μια πολύπλοκη αλυσίδα επισύναψης που περιλαμβάνει πολλούς φορτωτές και περνά από πολλά στάδια πριν από την παράδοση του τελικού ωφέλιμου φορτίου κακόβουλου λογισμικού. Οι χάκερ DoNot έχουν επίσης επιδείξει την ικανότητα να καινοτομούν και να βελτιώνουν τα εργαλεία κακόβουλου λογισμικού τους, εξοπλίζοντάς τα συνεχώς με νέες λειτουργίες ή εκμεταλλευόμενοι πιο εξελιγμένες τεχνικές.

Στις περισσότερες από τις επιθέσεις του, οι χάκερ DoNot APT χρησιμοποιούν διακομιστές Command-and-Control (C2, C&C) που νοικιάζονται από την DigitalOcean, LLC (ASN 14061) και βρίσκονται στο Άμστερνταμ. Για κάθε νέο όνομα τομέα, ένας νέος εκχωρημένος κεντρικός υπολογιστής δεσμεύεται.

Σύνθετες αλυσίδες επιθέσεων που περιλαμβάνουν προσαρμοσμένο κακόβουλο λογισμικό

Αν και δεν είναι οριστικά, υπάρχουν αρκετά περιστασιακά στοιχεία ότι ο αρχικός φορέας συμβιβασμού της ομάδας είναι η διάδοση μηνυμάτων ηλεκτρονικού ψαρέματος που μεταφέρουν έγγραφα MS Word σε μορφή Office Open XML. Το αρχικό έγγραφο δεν είναι απειλητικό, αλλά καταχράται τη λειτουργία αυτόματης φόρτωσης εξωτερικών στοιχείων για να ξεκινήσει το επόμενο στάδιο της αλυσίδας επίθεσης.

Αρκετοί φορτωτές πέφτουν στο παραβιασμένο σύστημα κατά τη διάρκεια της διαδικασίας, με τον καθένα να έχει διαφορετικό στόχο. Για παράδειγμα, σε μια συγκεκριμένη καμπάνια, ο Trojan Serviceflow.exe λειτούργησε ως φύλακας που συλλέγει και αποθηκεύει τις ακόλουθες πληροφορίες - όνομα χρήστη και υπολογιστή, έκδοση λειτουργικού συστήματος, λεπτομέρειες επεξεργαστή, \Program Files και \Program Files (86)\ λεπτομέρειες περιεχομένου. Είναι επίσης υπεύθυνο για τη λήψη και την ανάπτυξη των αρχείων A64.dll και sinter.exe. Το Sinter είναι ένας άλλος Trojan, αλλά η λειτουργικότητά του διαφέρει σημαντικά. Ενημερώνει τους φορείς της απειλής σχετικά με την τρέχουσα μόλυνση στέλνοντας ένα αίτημα σε μια συγκεκριμένη διεύθυνση URL, ενώ παράλληλα εκμεταλλεύεται τις πληροφορίες που συλλέγονται σχετικά με το παραβιασμένο σύστημα στην «skillsnew[.]top». Οι πληροφορίες προορίζονται να βοηθήσουν τους χάκερ να προσδιορίσουν εάν ο στόχος αξίζει περαιτέρω εκμετάλλευση.

Συνεχής ανάπτυξη εργαλείων κακόβουλου λογισμικού

Το DoNot APT έχει αποδείξει σε πολλές περιπτώσεις τη συνεχή εστίασή του στην επανάληψη και τη βελτίωση. Οι προσπάθειες μπορούν εύκολα να φανούν σε διαφορετικές εκδόσεις loader που χρησιμοποιεί η ομάδα. Στις προηγούμενες εκδόσεις, πριν από τα μέσα του 2018, όλες οι χρησιμοποιούμενες συμβολοσειρές αποθηκεύονταν σε καθαρό κείμενο, ενώ στις επόμενες εκδόσεις είχαν αρχίσει να εισάγονται διάφορα επίπεδα κρυπτογράφησης:

  • Μάιος 2018 - κωδικοποιημένο με Base64
  • Απρίλιος 2019 - διπλή κωδικοποίηση Base64
  • Ιανουάριος 2019 - κρυπτογράφηση με τον αλγόριθμο AES σε λειτουργία CBS ακολουθούμενη από κωδικοποίηση Base64.
  • Ιούνιος 2019 - κυκλική αφαίρεση σύμβολο-σύμβολο με το σύνολο του πίνακα byte, κωδικοποίηση με UTF-8 και ακολουθούμενη από κωδικοποίηση Base64
  • Οκτώβριος 2019 - κυκλικά τροποποιημένο σύμβολο προς σύμβολο XOR με τη σειρά από byte, ακολουθούμενη από διπλή κωδικοποίηση Base64

Στην τελευταία παρατηρούμενη λειτουργία που διεξήχθη από το DoNot APT, η ομάδα ανέπτυξε ένα νέο πρόγραμμα φόρτωσης κακόβουλου λογισμικού Android με το όνομα Firestarter Trojan . Η απειλή κακόβουλου λογισμικού σχεδιάστηκε για να καταχραστεί μια νόμιμη υπηρεσία που ονομάζεται Firebase Cloud Messaging (FCM), η οποία παρέχεται από μια θυγατρική της Google. Η υπηρεσία αντιπροσωπεύει μια λύση cloud cross-platform για μηνύματα και ειδοποιήσεις για Android, iOS και άλλες εφαρμογές Ιστού.

Ο φορτωτής Firestarter εκμεταλλεύτηκε το FCM ως μέθοδο επικοινωνίας με τους διακομιστές του C2. Η χρήση μιας αποτελεσματικής υπηρεσίας καθιστά την ανίχνευση της μη κανονικής κίνησης πολύ πιο δύσκολη, καθώς συνδυάζεται με τις άλλες κανονικές επικοινωνίες που δημιουργούνται.

Τάσεις

Απάτη ηλεκτρονικού ταχυδρομείου «YouPorn».

Spam
Μετά από ενδελεχή εξέταση των μηνυμάτων ηλεκτρονικού ταχυδρομείου «YouPorn», ειδικοί στον τομέα της κυβερνοασφάλειας επιβεβαίωσαν τον δόλιο χαρακτήρα τους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου αποτελούν μέρος διαφόρων παραλλαγών ανεπιθύμητης αλληλογραφίας, όλα μοιάζουν με τακτικές εκτροπής. Το κοινό νήμα μεταξύ αυτών των παραπλανητικών μηνυμάτων ηλεκτρονικού ταχυδρομείου είναι ένας...

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
14,963
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...