DoNot APT

DoNot, जिसे इन्फोसेक समुदाय में APT-C-35 और SectorE02 के नाम से भी जाना जाता है, हैकर्स का एक एडवांस्ड पर्सिस्टेंट थ्रेट (APT) समूह है, जिसकी गतिविधियों का पता कई साल पहले 2012 तक लगाया जा सकता है। उस अवधि के दौरान, समूह का विस्तार हुआ है। इसके संचालन में कई महाद्वीपों - बांग्लादेश, थाईलैंड, श्रीलंका, फिलीपींस, अर्जेंटीना, संयुक्त अरब अमीरात और ग्रेट ब्रिटेन में फैले लक्ष्यों की एक विस्तृत श्रृंखला शामिल है। शुरू से ही, उनका मुख्य ध्यान दक्षिण एशिया क्षेत्र और पाकिस्तान, भारत और कश्मीर संकट पर रहा है , विशेष रूप से।

समूह की मुख्य विशेषज्ञता साइबर जासूसी और डेटा चोरी करना है। DoNot APT एक खतरनाक शस्त्रागार का उपयोग करता है जिसमें अपने स्वयं के मैलवेयर टूल क्रिएशन शामिल हैं। अधिकांश अभियानों में एक जटिल संलग्न श्रृंखला शामिल होती है जिसमें कई लोडर शामिल होते हैं और अंतिम मैलवेयर पेलोड की डिलीवरी से पहले कई चरणों से गुजरते हैं। DoNot हैकर्स ने अपने मैलवेयर टूल्स को नया करने और सुधारने की क्षमता भी प्रदर्शित की है, उन्हें लगातार नई कार्यक्षमताओं से लैस किया है या अधिक परिष्कृत तकनीकों का लाभ उठाया है।

अपने अधिकांश हमलों में, DoNot APT हैकर्स DigitalOcean, LLC (ASN 14061) से किराए पर लिए गए और एम्स्टर्डम में स्थित कमांड-एंड-कंट्रोल (C2, C&C) सर्वर का उपयोग करते हैं। प्रत्येक नए डोमेन नाम के लिए, एक नया आवंटित होस्ट आरक्षित किया जा रहा है।

कस्टम मैलवेयर को शामिल करते हुए जटिल हमले का पीछा

हालांकि निर्णायक नहीं होने पर, पर्याप्त परिस्थितिजन्य साक्ष्य हैं कि समूह का प्रारंभिक समझौता वेक्टर ऑफिस ओपन एक्सएमएल प्रारूप में एमएस वर्ड दस्तावेजों को ले जाने वाले फ़िशिंग ईमेल का प्रसार है। प्रारंभिक दस्तावेज़ धमकी नहीं दे रहा है, लेकिन यह हमले की श्रृंखला के अगले चरण को आरंभ करने के लिए बाहरी तत्वों की ऑटोलोडिंग कार्यक्षमता का दुरुपयोग करता है।

कई लोडर प्रक्रिया के दौरान समझौता किए गए सिस्टम पर गिरा दिए जाते हैं, प्रत्येक को एक अलग उद्देश्य के साथ काम सौंपा जाता है। उदाहरण के लिए, एक विशिष्ट अभियान में, Serviceflow.exe Trojan ने निम्नलिखित जानकारी - उपयोगकर्ता और कंप्यूटर का नाम, OS संस्करण, प्रोसेसर विवरण, \Program Files और \Program Files (86)\ सामग्री विवरण एकत्रित और संग्रहीत करने वाले एक प्रहरी के रूप में कार्य किया। यह A64.dll और sinter.exe फ़ाइलों को डाउनलोड और परिनियोजित करने के लिए भी ज़िम्मेदार है। सिंटर एक और ट्रोजन है, लेकिन इसकी कार्यक्षमता काफी अलग है। यह एक विशिष्ट यूआरएल के लिए एक अनुरोध भेजकर मौजूदा संक्रमण के बारे में धमकी देने वालों को सूचित करता है, जबकि समझौता प्रणाली के बारे में एकत्रित जानकारी को 'स्किल्सन्यू [.]टॉप' पर बाहर निकालता है। जानकारी का उद्देश्य हैकर्स को यह निर्धारित करने में मदद करना है कि लक्ष्य आगे शोषण के योग्य है या नहीं।

मैलवेयर टूल्स का लगातार विकास

DoNot APT ने कई मौकों पर पुनरावृत्ति और सुधार पर अपने निरंतर ध्यान का प्रदर्शन किया है। समूह द्वारा नियोजित विभिन्न लोडर संस्करणों में प्रयासों को आसानी से देखा जा सकता है। पुराने संस्करणों में, 2018 के मध्य से पहले, सभी उपयोग किए गए स्ट्रिंग्स को क्लियरटेक्स्ट में संग्रहीत किया गया था, जबकि बाद के संस्करणों में, विभिन्न स्तरों के एन्क्रिप्शन को पेश किया जाना शुरू हो गया था:

• मई 2018 - बेस 64 . के साथ एन्कोड किया गया
• अप्रैल 2019 - डबल बेस64 एन्कोडिंग
• जनवरी 2019 - सीबीएस मोड में एईएस एल्गोरिथम के साथ एन्क्रिप्शन और उसके बाद बेस 64 एन्कोडिंग।
• जून 2019 - बाइट्स के सेट एरे के साथ सिंबल-बाय-सिंबल सर्कुलर घटाव, यूटीएफ -8 के साथ एन्कोड, और उसके बाद बेस 64 एन्कोडिंग
• अक्टूबर 2019 - प्रतीक-दर-प्रतीक परिपत्र संशोधित XOR बाइट्स के सेट सरणी के साथ, इसके बाद डबल बेस64 एन्कोडिंग

DoNot APT द्वारा किए गए नवीनतम देखे गए ऑपरेशन में, समूह ने फायरस्टार्टर ट्रोजन नामक एक नया एंड्रॉइड मैलवेयर लोडर तैनात किया। मैलवेयर के खतरे को Google की एक सहायक कंपनी द्वारा प्रदान की गई Firebase Cloud Messaging (FCM) नामक एक वैध सेवा का दुरुपयोग करने के लिए डिज़ाइन किया गया था। यह सेवा Android, iOS और अन्य वेब अनुप्रयोगों के लिए संदेशों और सूचनाओं के लिए एक क्रॉस-प्लेटफ़ॉर्म क्लाउड समाधान का प्रतिनिधित्व करती है।

फायरस्टार्टर लोडर ने अपने C2 सर्वर के साथ संचार पद्धति के रूप में FCM का शोषण किया। एक प्रभावी सेवा के उपयोग से असामान्य ट्रैफ़िक का पता लगाना बहुत कठिन हो जाता है, क्योंकि यह उत्पन्न होने वाले अन्य सामान्य संचारों के साथ मिश्रित होता है।