APT را انجام ندهید

DoNot که در جامعه infosec با نام‌های APT-C-35 و SectorE02 نیز شناخته می‌شود، یک گروه تهدید مداوم (APT) متشکل از هکرها است که فعالیت‌های آن‌ها تا سال 2012 قابل ردیابی است. در آن دوره، این گروه گسترش یافته است. عملیات آن شامل طیف گسترده ای از اهداف در چندین قاره - بنگلادش، تایلند، سریلانکا، فیلیپین، آرژانتین، امارات متحده عربی و بریتانیای کبیر می باشد. از همان ابتدا، تمرکز اصلی آنها بر منطقه جنوب آسیا و پاکستان، هند و بحران کشمیر ، به طور خاص، باقی مانده است.

تخصص اصلی این گروه انجام جاسوسی سایبری و سرقت اطلاعات است. DoNot APT از یک زرادخانه تهدیدآمیز متشکل از ابزارهای بدافزار خودش استفاده می کند. اکثر کمپین ها شامل یک زنجیره پیوست پیچیده هستند که شامل چندین بارکننده است و قبل از تحویل بار نهایی بدافزار، مراحل مختلفی را طی می کند. هکرهای DoNot همچنین توانایی نوآوری و بهبود ابزارهای بدافزار خود را نشان داده‌اند و دائماً آنها را با قابلیت‌های جدید مجهز می‌کنند یا از تکنیک‌های پیچیده‌تر بهره می‌برند.

در بیشتر حملات خود، هکرهای DoNot APT از سرورهای Command-and-Control (C2, C&C) استفاده می کنند که از DigitalOcean, LLC (ASN 14061) اجاره شده و در آمستردام واقع شده است. برای هر نام دامنه جدید، یک میزبان جدید اختصاص داده شده رزرو می شود.

Chaing حمله پیچیده شامل بدافزار سفارشی

اگرچه قطعی نیست، اما شواهد ضمنی کافی وجود دارد که بردار سازش اولیه گروه، انتشار ایمیل‌های فیشینگ حاوی اسناد MS Word در قالب Office Open XML است. سند اولیه تهدید کننده نیست، اما از عملکرد بارگذاری خودکار عناصر خارجی برای شروع مرحله بعدی زنجیره حمله سوء استفاده می کند.

چندین لودر در طول فرآیند بر روی سیستم در معرض خطر انداخته می‌شوند که هر کدام هدف متفاوتی دارند. به عنوان مثال، در یک کمپین خاص، تروجان Serviceflow.exe به عنوان نگهبانی عمل می کند که اطلاعات زیر را جمع آوری و ذخیره می کند - نام کاربر و رایانه، نسخه سیستم عامل، جزئیات پردازنده، \Program Files و \Program Files (86)\ جزئیات محتوا. همچنین مسئول دانلود و استقرار فایل های A64.dll و sinter.exe است. Sinter یک تروجان دیگر است، اما عملکرد آن به طور قابل توجهی متفاوت است. با ارسال یک درخواست به یک URL خاص، عوامل تهدید را در مورد آلودگی فعلی مطلع می‌کند و در عین حال اطلاعات جمع‌آوری‌شده در مورد سیستم در معرض خطر را به 'skillsnew[.]top نیز استخراج می‌کند. این اطلاعات برای کمک به هکرها در تعیین اینکه آیا هدف ارزش بهره برداری بیشتر را دارد یا خیر در نظر گرفته شده است.

توسعه مداوم ابزارهای بدافزار

DoNot APT در موارد متعدد تمرکز مداوم خود را بر تکرار و بهبود نشان داده است. تلاش‌ها را می‌توان به راحتی در نسخه‌های لودر مختلف به‌کار گرفته شده توسط گروه مشاهده کرد. در نسخه‌های قبلی، قبل از اواسط سال 2018، تمام رشته‌های مورد استفاده در متن شفاف ذخیره می‌شدند، در حالی که در نسخه‌های بعدی، سطوح مختلفی از رمزگذاری شروع شده بود:

• می 2018 - کدگذاری شده با Base64
• آوریل 2019 - رمزگذاری دوگانه Base64
• ژانویه 2019 - رمزگذاری با الگوریتم AES در حالت CBS و به دنبال آن کدگذاری Base64.
• ژوئن 2019 - تفریق دایره‌ای نماد به نماد با مجموعه مجموعه‌ای از بایت‌ها، کدگذاری با UTF-8، و به دنبال آن کدگذاری Base64
• اکتبر 2019 - XOR دایره‌ای تغییر یافته نماد به نماد با مجموعه مجموعه‌ای از بایت‌ها، به دنبال آن کدگذاری دوگانه Base64

در آخرین عملیات مشاهده شده انجام شده توسط DoNot APT، این گروه یک بارگذار بدافزار جدید اندرویدی به نام Firestarter Trojan را مستقر کرد. این تهدید بدافزار برای سوء استفاده از یک سرویس قانونی به نام Firebase Cloud Messaging (FCM) که توسط یکی از شرکت های تابعه Google ارائه شده است، طراحی شده است. این سرویس یک راه حل ابری بین پلتفرمی برای پیام ها و اعلان ها برای Android، iOS و سایر برنامه های کاربردی وب را نشان می دهد.

بارگذار Firestarter از FCM به عنوان یک روش ارتباطی با سرورهای C2 خود بهره برداری کرد. استفاده از یک سرویس موثر تشخیص ترافیک غیرعادی را بسیار سخت تر می کند، زیرا با سایر ارتباطات عادی تولید شده ترکیب می شود.