תוכנה זדונית של LoptikMod
קמפיין חדש המיוחס לקבוצת DoNot APT נחשף, ומציג את השימוש בזן נוזקה חשאי ועמיד בשם LoptikMod. כלי זה נוצל במתקפה ממוקדת נגד משרד חוץ אירופי, דבר המעיד עוד יותר על שינוי המיקוד של הקבוצה מעבר לדרום אסיה.
תוכן העניינים
גורם איום ידוע עם טווח הגעה הולך וגדל
הקמפיין נקשר לצוות DoNot, קבוצת APT (Advanced Persistent Threat) מתוחכמת המוכרת בשמות בדויים שונים, כולל APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 ו-Viceroy Tiger. עם פעילות שראשיתה לפחות בשנת 2016, לקבוצה היסטוריה מתועדת של תקיפה נגד סוכנויות ממשלתיות, משרדי חוץ, גופי ביטחון וארגונים לא ממשלתיים, במיוחד בדרום אסיה ובאירופה.
מבחינה היסטורית, DoNot APT השתמשה בתוכנות זדוניות שנבנו בהתאמה אישית, בעיקר YTY ו-GEdit, שלעתים קרובות נפרסו באמצעות קמפיינים של פישינג (spear phishing) וקבצים מצורפים זדוניים.
לפתות את המטרה: פישינג כנקודת כניסה
ההתקפה מתחילה בדוא"ל פישינג מטעה שנוצר כדי להיראות לגיטימי ואמין. הודעות אלו, שנשלחו מחשבון ג'ימייל, מתחזות לגורמי הגנה וכוללות שורות נושא המתייחסות לביקור של נספח הגנה איטלקי בדאקה, בנגלדש. ראוי לציין כי הודעות הדוא"ל מעוצבים באמצעות HTML עם קידוד UTF-8 כדי לעבד תווים מיוחדים כמו 'é' בצורה נכונה, מה שמוסיף לאותנטיות שלהן.
קישור ל-Google Drive המוטמע באימייל מוביל להורדת ארכיון RAR. ארכיון זה מכיל קובץ הרצה זדוני שנועד לחקות קובץ PDF. לאחר פתיחתו, קובץ ההרצה מתחיל את פריסת LoptikMod, סוס טרויאני לגישה מרחוק (RAT) שהיה בלעדי ל-DoNot APT מאז לפחות 2018.
בתוך תוכנת הזדונית LoptikMod
לאחר ההפעלה, LoptikMod מטמיע את עצמו במערכת המארחת באמצעות משימות מתוזמנות לצורך שמירה על תפקודו. לאחר מכן הוא מתחבר לשרת שליטה ובקרה מרוחק (C2) כדי לבצע פעילויות זדוניות שונות. אלו כוללות:
- שליחת מידע מערכתי בחזרה לתוקפים
- קבלה וביצוע של פקודות נוספות
- הורדת מודולים זדוניים נוספים
- חילוץ נתונים רגישים
כדי למנוע גילוי ולעכב ניתוח פורנזי, LoptikMod משתמש בטכניקות אנטי-VM (מכונה וירטואלית) ובערפול ASCII, מה שמקשה על חוקרי אבטחה לנתח את מלוא הפונקציונליות שלו. בנוסף, הוא מבטיח שרק מופע אחד יפעל על מכשיר בכל עת, מונע התנגשויות פנימיות ומפחית את הסבירות לגילוי.
סטטוס ותשתית נוכחיים של הקמפיין
בעוד ש-LoptikMod עצמו מסוגל ועמיד, שרת ה-C2 שהיה מעורב במתקפה האחרונה אינו פעיל כרגע. חוסר פעילות זה יכול להעיד על כך שהתשתית הוצאה מהרשת באופן זמני, נסגרה לצמיתות או הוחלפה בשרת חדש שלא התגלה.
הסטטוס הלא פעיל של השרת מגביל את יכולתם של החוקרים לנתח את הפקודות והנתונים המדויקים שהוחלפו בין נקודות הקצה הנגועות לתוקפים.
סימנים של שינוי אסטרטגי: מטרות אירופיות במוקד
הפעילות האחרונה של DoNot APT מראה סימני התפתחות. בעוד שהקבוצה התמקדה באופן מסורתי באינטרסים של דרום אסיה, מבצע זה מדגים עניין גובר במודיעין דיפלומטי אירופי, במיוחד הקשור לדרום אסיה.
שינוי זה מצביע ככל הנראה על יכולות מבצעיות משופרות ויעדי מודיעין שאפתניים יותר. ייתכן שמפעילי הקבוצה מחפשים תובנות לגבי אסטרטגיות דיפלומטיות מערביות, מדיניות הגנה ומעורבות בינלאומית עם דרום אסיה.
נקודות מפתח
כדי לצמצם ביעילות התקפות כאלה, ארגונים צריכים להתחיל בחינוך הצוות שלהם לזהות ניסיונות פישינג, גם כאשר הודעות נראות לגיטימיות ביותר. חשוב באותה מידה לנטר באופן רציף את המערכות לאיתור התנהגות חריגה, כגון משימות מתוזמנות בלתי צפויות או חיבורים יוצאים לשרתים לא מוכרים, אשר עשויים להצביע על פגיעה.
בנוסף, יישום כלי "ארגז חול" וניתוח התנהגותי יכול לסייע בזיהוי ונטרול קבצי הרצה חשודים לפני שהם גורמים נזק. שמירה על תקינות מלאה של המערכות ושילוב עדכוני מודיעין איומים עדכניים מבטיחים כי פגיעויות ידועות יטופלו במהירות. לבסוף, פילוח הרשת יכול להפחית משמעותית את הסיכון להתפשטות תוכנות זדוניות לרוחב, ובכך לבלום פרצות פוטנציאליות בצורה יעילה יותר.
סיכום: ערנות היא חיונית
פריסת LoptikMod על ידי קבוצת DoNot APT בקמפיין ריגול סייבר אירופי היא תזכורת בולטת לנוף האיומים המתפתח. ככל שקבוצות APT ממשיכות לשפר את הכלים שלהן ולהרחיב את מוקדי הפעולה שלהן, במיוחד כלפי נכסים דיפלומטיים בעלי ערך גבוה, ארגונים חייבים להישאר ערניים ופרואקטיביים בהגנות הסייבר שלהם.
