Ära APT

DoNot, infoseci kogukonnas tuntud ka kui APT-C-35 ja SectorE02, on edasijõudnud püsiva ohu (APT) häkkerite rühmitus, mille tegevust saab jälgida mitu aastat tagasi kuni 2012. aastani. Selle perioodi jooksul on grupp laienenud. selle tegevus hõlmab laia valikut sihtmärke mitmel mandril – Bangladeshis, Tais, Sri Lankal, Filipiinidel, Argentinas, Araabia Ühendemiraatides ja Suurbritannias. Algusest, nende põhirõhk on jäänud Lõuna-Aasia piirkonnas ja Pakistan, India ja Kashmiri kriis, täpsemalt.

Grupi peamine spetsialiseerumine on küberspionaaži ja andmevarguste korraldamine. DoNot APT kasutab ähvardavat arsenali, mis koosneb tema enda pahavaratööriistade loomingust. Enamik kampaaniaid hõlmab keerulist kinnitusketti, mis hõlmab mitut laadijat ja läbib mitu etappi enne lõpliku pahavara kasuliku koorma kohaletoimetamist. DoNoti häkkerid on näidanud ka võimet uuendada ja täiustada oma pahavara tööriistu, varustades neid pidevalt uute funktsioonidega või kasutades ära keerukamaid tehnikaid.

Enamiku rünnakute puhul kasutavad DoNot APT häkkerid Command-and-Control (C2, C&C) servereid, mis on renditud ettevõttelt DigitalOcean, LLC (ASN 14061) ja asuvad Amsterdamis. Iga uue domeeninime jaoks reserveeritakse uus host.

Kohandatud pahavara hõlmav keeruline ründe tagaajamine

Kuigi see pole veenev, on piisavalt kaudseid tõendeid selle kohta, et grupi esialgne kompromissi vektor on andmepüügimeilide levitamine, mis kannavad Office Open XML-vormingus MS Wordi dokumente. Esialgne dokument ei ole ähvardav, kuid kuritarvitab väliste elementide automaatse laadimise funktsiooni, et käivitada ründeahela järgmine etapp.

Protsessi käigus kukutatakse kahjustatud süsteemile mitu laadurit, millest igaühel on erinev eesmärk. Näiteks teatud kampaanias toimis trooja Serviceflow.exe valvekoerana, kes kogus ja salvestas järgmist teavet – kasutaja ja arvuti nimi, OS-i versioon, protsessori üksikasjad, \Program Files ja \Program Files (86)\ sisu üksikasjad. Samuti vastutab see failide A64.dll ja sinter.exe allalaadimise ja juurutamise eest. Sinter on teine troojalane, kuid selle funktsionaalsus on oluliselt erinev. See teavitab ohus osalejaid praegusest nakatumisest, saates päringu konkreetsele URL-ile, eksfiltreerides samal ajal ohustatud süsteemi kohta kogutud teabe kausta "skillsnew[.]top". Teabe eesmärk on aidata häkkeritel kindlaks teha, kas sihtmärk on edasist ärakasutamist väärt.

Pahavara tööriistade pidev arendamine

DoNot APT on mitmel korral näidanud oma jätkuvat keskendumist iteratsioonile ja täiustamisele. Pingutused on hõlpsasti näha grupi erinevates laadurite versioonides. Varasemates versioonides, enne 2018. aasta keskpaika, salvestati kõik kasutatud stringid selgetekstis, järgmistes versioonides aga hakati juurutama erineva tasemega krüptimist:

• mai 2018 – kodeeritud Base64-ga
• aprill 2019 – topelt Base64 kodeering
• Jaanuar 2019 – krüpteerimine AES-algoritmiga CBS-režiimis, millele järgneb Base64 kodeering.
• Juuni 2019 – sümbol-sümboli haaval ümmargune lahutamine määratud baitide massiiviga, kodeerimine UTF-8-ga ja sellele järgneb Base64-kodeering
• Oktoober 2019 – sümbol-sümboli haaval ümmargune modifitseeritud XOR koos määratud baitide massiiviga, millele järgneb topelt Base64 kodeering

Viimases täheldatud operatsioonis, mille viis läbi DoNot APT, juurutas rühm uue Androidi pahavara laadija nimega Firestarter Trojan . Pahavaraoht loodi Google'i tütarettevõtte pakutava seadusliku teenuse Firebase Cloud Messaging (FCM) kuritarvitamiseks. Teenus kujutab endast platvormidevahelist pilvelahendust Androidi, iOS-i ja muude veebirakenduste sõnumite ja teatiste jaoks.

Firestarteri laadur kasutas FCM-i sidemeetodina oma C2-serveritega. Tõhusa teenuse kasutamine muudab ebatavalise liikluse tuvastamise palju raskemaks, kuna see segatakse muu genereeritava tavapärase sidega.