LoptikMod-haittaohjelma
DoNot APT -ryhmään kuuluva uusi kampanja on julkistettu. Se esittelee LoptikMod-nimisen salakavalan ja itsepintaisen haittaohjelmakannan käyttöä. Tätä työkalua on hyödynnetty kohdennetussa hyökkäyksessä Euroopan ulkoministeriötä vastaan, mikä osoittaa entisestään ryhmän painopisteen siirtymisen Etelä-Aasian ulkopuolelle.
Sisällysluettelo
Tunnettu uhkatoimija, jonka ulottuvuus laajenee
Kampanja on yhdistetty DoNot Teamiin, hienostuneeseen Advanced Persistent Threat (APT) -ryhmään, joka tunnetaan useilla salanimillä, kuten APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 ja Viceroy Tiger. Ryhmällä on dokumentoitu historia iskuista, jotka on tehty ainakin vuoteen 2016 asti, ja sillä on iskuja valtion virastoihin, ulkoministeriöihin, puolustusyksiköihin ja kansalaisjärjestöihin, erityisesti Etelä-Aasiassa ja Euroopassa.
Historiallisesti DoNot APT on käyttänyt räätälöityjä haittaohjelmia, erityisesti YTY:tä ja GEditiä, joita on usein levitetty tietojenkalastelukampanjoiden ja haitallisten liitetiedostojen avulla.
Kohteen houkutteleminen: tietojenkalastelu sisäänpääsykohtana
Hyökkäys alkaa harhaanjohtavalla tietojenkalasteluviestillä, joka on laadittu näyttämään aidolta ja luotettavalta. Nämä Gmail-tililtä lähetetyt viestit tekeytyvät puolustusviranomaisiksi ja niiden otsikkorivillä viitataan Italian puolustusattasean vierailuun Dhakassa, Bangladeshissa. Huomionarvoista on, että sähköpostit on muotoiltu HTML-koodilla ja UTF-8-koodauksella, jotta erikoismerkit, kuten 'é', näkyvät oikein, mikä lisää niiden aitoutta.
Sähköpostiin upotettu Google Drive -linkki johtaa RAR-arkiston lataukseen. Tämä arkisto sisältää haitallisen suoritettavan tiedoston, joka on suunniteltu jäljittelemään PDF-tiedostoa. Kun tiedosto avataan, se käynnistää LoptikModin, etäkäyttötroijalaisen (RAT), joka on ollut yksinomaan DoNot APT:n käytössä ainakin vuodesta 2018 lähtien.
LoptikMod-haittaohjelman sisällä
Suoritettuaan LoptikMod upottaa itsensä isäntäjärjestelmään käyttämällä ajoitettuja tehtäviä pysyvyyden takaamiseksi. Sitten se muodostaa yhteyden etäkomento- ja -hallintapalvelimeen (C2) suorittaakseen erilaisia haitallisia toimintoja. Näitä ovat:
- Järjestelmätietojen lähettäminen takaisin hyökkääjille
- Lisäkomentojen vastaanottaminen ja suorittaminen
- Ylimääräisten haitallisten moduulien lataaminen
- Arkaluonteisten tietojen vuotaminen
Havaitsemisen välttämiseksi ja rikosteknisen analyysin vaikeuttamiseksi LoptikMod käyttää virtuaalikoneiden (VM) vastaisia tekniikoita ja ASCII-hämärrystä, mikä vaikeuttaa tietoturvatutkijoiden mahdollisuuksia analysoida sen koko toiminnallisuutta. Lisäksi se varmistaa, että laitteella on kerrallaan käynnissä vain yksi instanssi, mikä estää sisäisiä konflikteja ja vähentää havaitsemisen todennäköisyyttä.
Kampanjan nykytila ja infrastruktuuri
Vaikka LoptikMod itsessään on kykenevä ja pysyvä, viimeisimmän hyökkäyksen kohteena ollut C2-palvelin on tällä hetkellä passiivinen. Tämä passiivinen toiminta voi tarkoittaa, että infrastruktuuri on otettu tilapäisesti pois käytöstä, suljettu pysyvästi tai korvattu uudella, tuntemattomalla palvelimella.
Palvelimen passiivinen tila rajoittaa tutkijoiden kykyä analysoida tartunnan saaneiden päätepisteiden ja hyökkääjien välillä vaihdettuja tarkkoja komentoja ja tietoja.
Strategisen muutoksen merkkejä: Eurooppalaiset tavoitteet tarkastelussa
DoNot APT:n viimeisin toiminta osoittaa kehityksen merkkejä. Vaikka ryhmä on perinteisesti keskittynyt Etelä-Aasian etuihin, tämä viimeaikainen operaatio osoittaa kasvavaa kiinnostusta Euroopan diplomaattiseen tiedusteluun, erityisesti Etelä-Aasiaan liittyen.
Tämä muutos todennäköisesti viittaa parantuneisiin operatiivisiin kykyihin ja kunnianhimoisempiin tiedustelutavoitteisiin. Ryhmän käsittelijät saattavat etsiä tietoa länsimaisista diplomaattisista strategioista, puolustuspolitiikasta ja kansainvälisistä yhteyksistä Etelä-Aasiaan.
Keskeiset tiedot
Tällaisten hyökkäysten tehokkaaksi hillitsemiseksi organisaatioiden tulisi aloittaa kouluttamalla henkilöstöään tunnistamaan tietojenkalasteluyritykset, vaikka viestit vaikuttaisivat erittäin laillisilta. Yhtä tärkeää on jatkuvasti valvoa järjestelmiä epätavallisen käyttäytymisen varalta, kuten odottamattomien ajoitettujen tehtävien tai lähtevien yhteyksien varalta tuntemattomille palvelimille, jotka voivat viitata tietomurtoon.
Lisäksi hiekkalaatikko- ja käyttäytymisanalyysityökalujen käyttöönotto voi auttaa havaitsemaan ja neutraloimaan epäilyttävät suoritettavat tiedostot ennen kuin ne aiheuttavat vahinkoa. Järjestelmien pitäminen täysin ajan tasalla ja uusimpien uhkatietojen sisällyttäminen varmistaa, että tunnettuihin haavoittuvuuksiin puututaan nopeasti. Lopuksi, verkon segmentointi voi merkittävästi vähentää haittaohjelmien leviämisen riskiä sivusuunnassa ja siten rajoittaa mahdollisia tietomurtoja tehokkaammin.
Johtopäätös: Valppaus on välttämätöntä
DoNot APT -ryhmän LoptikModin käyttöönotto eurooppalaisessa kybervakoilukampanjassa on karu muistutus muuttuvasta uhkakuvasta. APT-ryhmien jatkuvasti parantaessa työkalujaan ja laajentaessaan kohdistamistaan erityisesti arvokkaisiin diplomaattisiin resursseihin, organisaatioiden on pysyttävä valppaina ja ennakoivina kyberturvallisuuspuolustuksessaan.
