APT را انجام ندهید
DoNot که در جامعه infosec با نامهای APT-C-35 و SectorE02 نیز شناخته میشود، یک گروه تهدید مداوم (APT) متشکل از هکرها است که فعالیتهای آنها تا سال 2012 قابل ردیابی است. در آن دوره، این گروه گسترش یافته است. عملیات آن شامل طیف گسترده ای از اهداف در چندین قاره - بنگلادش، تایلند، سریلانکا، فیلیپین، آرژانتین، امارات متحده عربی و بریتانیای کبیر می باشد. از همان ابتدا، تمرکز اصلی آنها بر منطقه جنوب آسیا و پاکستان، هند و بحران کشمیر ، به طور خاص، باقی مانده است.
تخصص اصلی این گروه انجام جاسوسی سایبری و سرقت اطلاعات است. DoNot APT از یک زرادخانه تهدیدآمیز متشکل از ابزارهای بدافزار خودش استفاده می کند. اکثر کمپین ها شامل یک زنجیره پیوست پیچیده هستند که شامل چندین بارکننده است و قبل از تحویل بار نهایی بدافزار، مراحل مختلفی را طی می کند. هکرهای DoNot همچنین توانایی نوآوری و بهبود ابزارهای بدافزار خود را نشان دادهاند و دائماً آنها را با قابلیتهای جدید مجهز میکنند یا از تکنیکهای پیچیدهتر بهره میبرند.
در بیشتر حملات خود، هکرهای DoNot APT از سرورهای Command-and-Control (C2, C&C) استفاده می کنند که از DigitalOcean, LLC (ASN 14061) اجاره شده و در آمستردام واقع شده است. برای هر نام دامنه جدید، یک میزبان جدید اختصاص داده شده رزرو می شود.
Chaing حمله پیچیده شامل بدافزار سفارشی
اگرچه قطعی نیست، اما شواهد ضمنی کافی وجود دارد که بردار سازش اولیه گروه، انتشار ایمیلهای فیشینگ حاوی اسناد MS Word در قالب Office Open XML است. سند اولیه تهدید کننده نیست، اما از عملکرد بارگذاری خودکار عناصر خارجی برای شروع مرحله بعدی زنجیره حمله سوء استفاده می کند.
چندین لودر در طول فرآیند بر روی سیستم در معرض خطر انداخته میشوند که هر کدام هدف متفاوتی دارند. به عنوان مثال، در یک کمپین خاص، تروجان Serviceflow.exe به عنوان نگهبانی عمل می کند که اطلاعات زیر را جمع آوری و ذخیره می کند - نام کاربر و رایانه، نسخه سیستم عامل، جزئیات پردازنده، \Program Files و \Program Files (86)\ جزئیات محتوا. همچنین مسئول دانلود و استقرار فایل های A64.dll و sinter.exe است. Sinter یک تروجان دیگر است، اما عملکرد آن به طور قابل توجهی متفاوت است. با ارسال یک درخواست به یک URL خاص، عوامل تهدید را در مورد آلودگی فعلی مطلع میکند و در عین حال اطلاعات جمعآوریشده در مورد سیستم در معرض خطر را به 'skillsnew[.]top نیز استخراج میکند. این اطلاعات برای کمک به هکرها در تعیین اینکه آیا هدف ارزش بهره برداری بیشتر را دارد یا خیر در نظر گرفته شده است.
توسعه مداوم ابزارهای بدافزار
DoNot APT در موارد متعدد تمرکز مداوم خود را بر تکرار و بهبود نشان داده است. تلاشها را میتوان به راحتی در نسخههای لودر مختلف بهکار گرفته شده توسط گروه مشاهده کرد. در نسخههای قبلی، قبل از اواسط سال 2018، تمام رشتههای مورد استفاده در متن شفاف ذخیره میشدند، در حالی که در نسخههای بعدی، سطوح مختلفی از رمزگذاری شروع شده بود:
- می 2018 - کدگذاری شده با Base64
- آوریل 2019 - رمزگذاری دوگانه Base64
- ژانویه 2019 - رمزگذاری با الگوریتم AES در حالت CBS و به دنبال آن کدگذاری Base64.
- ژوئن 2019 - تفریق دایرهای نماد به نماد با مجموعه مجموعهای از بایتها، کدگذاری با UTF-8، و به دنبال آن کدگذاری Base64
- اکتبر 2019 - XOR دایرهای تغییر یافته نماد به نماد با مجموعه مجموعهای از بایتها، به دنبال آن کدگذاری دوگانه Base64
در آخرین عملیات مشاهده شده انجام شده توسط DoNot APT، این گروه یک بارگذار بدافزار جدید اندرویدی به نام Firestarter Trojan را مستقر کرد. این تهدید بدافزار برای سوء استفاده از یک سرویس قانونی به نام Firebase Cloud Messaging (FCM) که توسط یکی از شرکت های تابعه Google ارائه شده است، طراحی شده است. این سرویس یک راه حل ابری بین پلتفرمی برای پیام ها و اعلان ها برای Android، iOS و سایر برنامه های کاربردی وب را نشان می دهد.
بارگذار Firestarter از FCM به عنوان یک روش ارتباطی با سرورهای C2 خود بهره برداری کرد. استفاده از یک سرویس موثر تشخیص ترافیک غیرعادی را بسیار سخت تر می کند، زیرا با سایر ارتباطات عادی تولید شده ترکیب می شود.