לא APT

DoNot, הידועה גם בקהילת infosec כ-APT-C-35 ו-SectorE02, היא קבוצת האקרים מתמשכת מתמשכת (APT) של האקרים שניתן לאתר את פעילותם מספר שנים אחורה עד 2012. במהלך אותה תקופה, הקבוצה התרחבה פעילותה כוללת מגוון רחב של מטרות המשתרעות על פני מספר יבשות - בנגלדש, תאילנד, סרי לנקה, הפיליפינים, ארגנטינה, איחוד האמירויות הערביות ובריטניה הגדולה. כבר מההתחלה, ההתמקדות העיקרית שלהם נותרה באזור דרום אסיה ופקיסטן, הודו ומשבר קשמיר , ליתר דיוק.

ההתמחות העיקרית של הקבוצה היא ניהול ריגול סייבר וגניבת מידע. ה-DoNot APT משתמש בארסנל מאיים המורכב מיצירות כלי תוכנה זדוניות משלו. רוב הקמפיינים כוללים שרשרת חיבור מורכבת הכוללת מספר מעמיסים ועוברת שלבים מרובים לפני מסירת המטען הסופי של תוכנות זדוניות. ההאקרים של DoNot גם הציגו יכולת לחדש ולשפר את כלי התוכנות הזדוניות שלהם, לצייד אותם ללא הרף בפונקציונליות חדשה או לנצל טכניקות מתוחכמות יותר.

ברוב ההתקפות שלה, האקרים של DoNot APT משתמשים בשרתי Command-and-Control (C2, C&C) המושכרים מ-DigitalOcean, LLC (ASN 14061) וממוקמים באמסטרדם. עבור כל שם דומיין חדש, מארח שהוקצה לאחרונה נשמר.

צ'ינג להתקפה מורכבת הכוללת תוכנה זדונית מותאמת אישית

למרות שאינה חד משמעית, יש מספיק ראיות נסיבתיות לכך שווקטור הפשרה הראשוני של הקבוצה הוא הפצת מיילים דיוג הנושאים מסמכי MS Word בפורמט Office Open XML. המסמך הראשוני אינו מאיים, אך הוא משתמש לרעה בפונקציונליות הטעינה האוטומטית של אלמנטים חיצוניים כדי להתחיל את השלב הבא בשרשרת ההתקפה.

כמה מעמיסים מופלים למערכת שנפרצה במהלך התהליך, שלכל אחד מהם יש מטרה אחרת. לדוגמה, בקמפיין ספציפי, הטרויאני Serviceflow.exe פעל ככלב שמירה שאוסף ומאחסן את המידע הבא - שם המשתמש והמחשב, גרסת מערכת ההפעלה, פרטי המעבד, \Program Files ו \Program Files (86)\ פרטי תוכן. הוא גם אחראי על הורדה ופריסה של קבצי A64.dll ו-sinter.exe. סינטר הוא טרויאני אחר, אבל הפונקציונליות שלו שונה באופן משמעותי. הוא מודיע לגורמי האיום על ההדבקה הנוכחית על ידי שליחת בקשה לכתובת URL ספציפית תוך סינון של המידע שנאסף על המערכת שנפגעה ל-'skillsnew[.]top.' המידע נועד לעזור להאקרים לקבוע אם המטרה ראויה לניצול נוסף.

פיתוח מתמיד של כלי תוכנה זדונית

ה-DoNot APT הוכיח בהזדמנויות רבות את ההתמקדות המתמשכת שלו באיטרציה ושיפור. ניתן לראות את המאמצים בקלות בגרסאות מעמיסים שונות המועסקות על ידי הקבוצה. בגרסאות הקודמות, לפני אמצע 2018, כל המחרוזות בשימוש אוחסנו בטקסט ברור, בעוד שבגרסאות הבאות החלו להציג רמות שונות של הצפנה:

• מאי 2018 - מקודד עם Base64
• אפריל 2019 - קידוד Base64 כפול
• ינואר 2019 - הצפנה עם אלגוריתם AES במצב CBS ואחריו קידוד Base64.
• יוני 2019 - חיסור מעגלי סמל אחר סמל עם מערך הבתים שנקבע, קידוד עם UTF-8, ואחריו קידוד Base64
• אוקטובר 2019 - XOR שונה סמל אחר סמל עם מערך הבתים שנקבע, ואחריו קידוד Base64 כפול

בפעולה האחרונה שנצפה שבוצעה על ידי DoNot APT, הקבוצה פרסה מטעין תוכנות זדוניות חדש של אנדרואיד בשם Firestarter Trojan . האיום של תוכנות זדוניות תוכנן להשתמש לרעה בשירות לגיטימי בשם Firebase Cloud Messaging (FCM), המסופק על ידי חברת בת של גוגל. השירות מייצג פתרון ענן חוצה פלטפורמות עבור הודעות והתראות עבור אנדרואיד, iOS ויישומי אינטרנט אחרים.

מטעין Firestarter ניצל את FCM כשיטת תקשורת עם שרתי ה-C2 שלו. השימוש בשירות אפקטיבי הופך את זיהוי התעבורה החריגה לקשה הרבה יותר, שכן היא מעורבבת עם שאר התקשורת הרגילה שנוצרת.