Älä APT

DoNot, joka tunnetaan myös infosec-yhteisössä nimellä APT-C-35 ja SectorE02, on Advanced Persistent Threat (APT) -hakkeriryhmä, jonka toiminta voidaan jäljittää useiden vuosien takaa aina vuoteen 2012 asti. Tänä aikana ryhmä on laajentunut sen toiminta kattaa laajan valikoiman kohteita useilla mantereilla - Bangladeshissa, Thaimaassa, Sri Lankassa, Filippiineillä, Argentiinassa, Yhdistyneissä arabiemiirikunnissa ja Isossa-Britanniassa. Alusta alkaen, niiden pääasiallinen tarkoitus on jäänyt Etelä-Aasian alueella ja Pakistanissa, Intiassa, ja Kashmirin kriisi, tarkemmin.

Ryhmän pääerikoistuminen on kybervakoilun ja tietovarkauksien harjoittaminen. DoNot APT käyttää uhkaavaa arsenaalia, joka koostuu sen omista haittaohjelmatyökaluista. Useimmissa kampanjoissa on monimutkainen liitosketju, joka sisältää useita latauslaitteita ja joka käy läpi useita vaiheita ennen kuin lopullinen haittaohjelmien hyötykuorma toimitetaan. DoNot-hakkerit ovat myös osoittaneet kykynsä innovoida ja parantaa haittaohjelmatyökalujaan, varustamalla niitä jatkuvasti uusilla toiminnoilla tai hyödyntämällä kehittyneempiä tekniikoita.

Useimmissa hyökkäyksissään DoNot APT -hakkerit käyttävät Command-and-Control (C2, C&C) -palvelimia, jotka on vuokrattu DigitalOcean, LLC:ltä (ASN 14061) ja jotka sijaitsevat Amsterdamissa. Jokaiselle uudelle verkkotunnukselle varataan uusi isäntä.

Monimutkainen hyökkäysketju, johon liittyy mukautettuja haittaohjelmia

Vaikka se ei ole vakuuttavaa, on olemassa riittävästi epäsuoraa näyttöä siitä, että ryhmän alkuperäinen kompromissivektori on MS Word -asiakirjoja Office Open XML -muodossa sisältävien tietojenkalasteluviestien levittäminen. Alkuasiakirja ei ole uhkaava, mutta se käyttää väärin ulkoisten elementtien automaattista lataustoimintoa käynnistääkseen hyökkäysketjun seuraavan vaiheen.

Useita kuormaajia pudotetaan vaarantuneeseen järjestelmään prosessin aikana, ja jokaisella on erilainen tavoite. Esimerkiksi tietyssä kampanjassa Serviceflow.exe-troijalainen toimi vahtikoirana, joka kerää ja talletti seuraavat tiedot - käyttäjän ja tietokoneen nimi, käyttöjärjestelmäversio, prosessorin tiedot, \Program Files ja \Program Files (86)\ sisältötiedot. Se on myös vastuussa A64.dll- ja sinter.exe-tiedostojen lataamisesta ja käyttöönotosta. Sinter on toinen troijalainen, mutta sen toiminnallisuus on huomattavasti erilainen. Se ilmoittaa uhkatoimijoille nykyisestä tartunnasta lähettämällä pyynnön tiettyyn URL-osoitteeseen ja samalla suodattaa vaarantuneesta järjestelmästä kerätyt tiedot "skillsnew[.]top". Tietojen tarkoituksena on auttaa hakkereita määrittämään, onko kohde lisähyödynnyksen arvoinen.

Jatkuva haittaohjelmatyökalujen kehittäminen

DoNot APT on osoittanut useaan otteeseen keskittyvänsä iteraatioon ja parantamiseen. Pyrkimykset näkyvät helposti konsernin käyttämissä erilaisissa kuormausversioissa. Aiemmissa versioissa, ennen vuoden 2018 puoliväliä, kaikki käytetyt merkkijonot oli tallennettu selkeäteksteihin, kun taas myöhemmissä versioissa oli alettu ottaa käyttöön eritasoista salausta:

• Toukokuu 2018 - koodattu Base64:llä
• Huhtikuu 2019 - kaksinkertainen Base64-koodaus
• Tammikuu 2019 - salaus AES-algoritmilla CBS-tilassa, jota seuraa Base64-koodaus.
• Kesäkuu 2019 – ympyrävähennys symbolikohtaisesti asetetulla tavujoukolla, koodaa UTF-8:lla ja sen jälkeen Base64-koodauksella
• Lokakuu 2019 - symboli-symboli ympyrämuokattu XOR, jossa on asetettu tavutaulukko, jota seuraa kaksois Base64-koodaus

Viimeisimmässä DoNot APT:n suorittamassa havaitussa operaatiossa ryhmä otti käyttöön uuden Android-haittaohjelmien latausohjelman nimeltä Firestarter Trojan . Haittaohjelmauhka on suunniteltu käyttämään väärin Googlen tytäryhtiön tarjoamaa laillista Firebase Cloud Messaging (FCM) -palvelua. Palvelu edustaa cross-platform-pilviratkaisua viesteille ja ilmoituksille Androidille, iOS:lle ja muille verkkosovelluksille.

Firestarter-lataaja käytti FCM:ää tiedonsiirtomenetelmänä C2-palvelimiensa kanssa. Tehokkaan palvelun käyttö tekee epänormaalin liikenteen havaitsemisesta paljon vaikeampaa, koska se sekoittuu muun normaalin generoitavan viestinnän kanssa.