LoptikModi pahavara
Ilmunud on uus DoNot APT rühmitusele omistatav kampaania, mis tutvustab LoptikMod nimelise salajase ja püsiva pahavara tüve kasutamist. Seda tööriista on kasutatud sihipärases rünnakus Euroopa välisministeeriumi vastu, mis viitab veelgi rühmituse fookuse nihkumisele Lõuna-Aasiast väljapoole.
Sisukord
Tuntud ohutegija laieneva ulatusega
Kampaaniat on seostatud DoNot Team'iga, mis on keerukas Advanced Persistent Threat (APT) rühmitus, mida tuntakse erinevate varjunimede all, sealhulgas APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 ja Viceroy Tiger. Rühmitusel on dokumenteeritud ajalugu valitsusasutuste, välisministeeriumide, kaitseorganisatsioonide ja vabaühenduste sihtimises, eriti Lõuna-Aasias ja Euroopas.
Ajalooliselt on DoNot APT kasutanud spetsiaalselt loodud pahavara, eelkõige YTY-d ja GEditi, mida sageli levitati andmepüügikampaaniate ja pahatahtlike dokumendimanuste kaudu.
Sihtmärgi meelitamine: andmepüük sisenemispunktina
Rünnak algab petliku andmepüügimeiliga, mis on loodud näima legitiimne ja usaldusväärne. Need Gmaili kontolt saadetud sõnumid esinevad kaitseametnikena ja nende teemaread viitavad Itaalia kaitseatašee visiidile Dhakasse Bangladeshis. Märkimisväärne on, et meilid on vormindatud HTML-i abil UTF-8 kodeeringuga, et kuvada erimärgid (nt 'é') õigesti, suurendades seeläbi nende autentsust.
Meilisõnumisse lisatud Google Drive'i link viib RAR-arhiivi allalaadimisele. See arhiiv sisaldab pahatahtlikku käivitatavat faili, mis on loodud PDF-faili jäljendama. Avamisel käivitatav fail käivitab LoptikModi, mis on kaugjuurdepääsuga trooja (RAT), mis on olnud DoNot APT-le eksklusiivne vähemalt alates 2018. aastast.
LoptikModi pahavara sees
Pärast käivitamist kinnistab LoptikMod end hostsüsteemi, kasutades püsivuse tagamiseks ajastatud ülesandeid. Seejärel loob see ühenduse kaugjuhtimispuldi (C2) serveriga, et sooritada mitmesuguseid pahatahtlikke tegevusi. Nende hulka kuuluvad:
- Süsteemiteabe saatmine ründajatele tagasi
- Lisakäskude vastuvõtmine ja täitmine
- Täiendavate pahatahtlike moodulite allalaadimine
- Tundlike andmete väljafiltreerimine
Avastamise vältimiseks ja kohtuekspertiisi takistamiseks kasutab LoptikMod virtuaalmasinate vastaseid tehnikaid ja ASCII hägustamist, mis raskendab turvauurijatel selle täieliku funktsionaalsuse analüüsimist. Lisaks tagab see, et seadmes töötab korraga ainult üks eksemplar, ennetades sisemisi konflikte ja vähendades avastamise tõenäosust.
Kampaania praegune olek ja infrastruktuur
Kuigi LoptikMod ise on võimekas ja püsiv, on viimases rünnakus osalenud C2 server hetkel passiivne. See passiivsus võib tähendada, et infrastruktuur on ajutiselt võrguühenduseta, jäädavalt suletud või asendatud uue avastamata serveriga.
Serveri mitteaktiivne olek piirab teadlaste võimet analüüsida nakatunud lõpp-punktide ja ründajate vahel vahetatud täpseid käske ja andmeid.
Strateegilise nihke märgid: Euroopa eesmärgid fookuses
DoNot APT uusim tegevus näitab arengu märke. Kuigi rühmitus on traditsiooniliselt keskendunud Lõuna-Aasia huvidele, näitab see hiljutine operatsioon kasvavat huvi Euroopa diplomaatilise luure vastu, eriti seoses Lõuna-Aasiaga.
See nihe viitab tõenäoliselt suurenenud operatiivvõimetele ja ambitsioonikamatele luureeesmärkidele. Rühma juhid võivad otsida teavet lääne diplomaatiliste strateegiate, kaitsepoliitika ja Lõuna-Aasiaga seotud rahvusvaheliste suhete kohta.
Peamised järeldused
Selliste rünnakute tõhusaks leevendamiseks peaksid organisatsioonid alustama oma töötajate koolitamisest, et nad tunneksid ära andmepüügikatsed isegi siis, kui sõnumid tunduvad väga õigustatud. Sama oluline on pidevalt jälgida süsteeme ebatavalise käitumise suhtes, näiteks ootamatute ajastatud ülesannete või väljaminevate ühenduste suhtes tundmatute serveritega, mis võivad viidata turvarikkumisele.
Lisaks aitavad liivakastitehnoloogia ja käitumisanalüüsi tööriistad kahtlaseid käivitatavaid faile enne kahju tekitamist tuvastada ja neutraliseerida. Süsteemide täielik turvapaigaldus ja uusimate ohuteabe voogude kaasamine tagavad teadaolevate haavatavuste kiire kõrvaldamise. Lõpuks võib võrgu segmenteerimine oluliselt vähendada pahavara horisontaalse leviku ohtu, ohjeldades seeläbi potentsiaalseid rikkumisi tõhusamalt.
Kokkuvõte: valvsus on oluline
DoNot APT grupi LoptikModi kasutamine Euroopa küberspionaažikampaanias on terav meeldetuletus pidevalt muutuvast ohumaastikust. Kuna APT grupid jätkavad oma tööriistade täiustamist ja sihtimise laiendamist, eriti kõrge väärtusega diplomaatiliste varade suunas, peavad organisatsioonid oma küberturvalisuse kaitses jääma valvsaks ja ennetavaks.
