Ponuda s popustom na više licenci
Baza prijetnji Malware LoptikMod Zlonamjerni softver

LoptikMod Zlonamjerni softver

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Pojavila se nova kampanja pripisana grupi DoNot APT, koja prikazuje korištenje prikrivenog i upornog zlonamjernog softvera pod nazivom LoptikMod. Ovaj alat je iskorišten u ciljanom napadu na europsko ministarstvo vanjskih poslova, što dodatno ukazuje na pomicanje fokusa grupe izvan Južne Azije.

Poznati akter prijetnje s rastućim dosegom

Kampanja je povezana s DoNot Teamom, sofisticiranom skupinom Advanced Persistent Threat (APT) poznatom pod raznim pseudonimima, uključujući APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 i Viceroy Tiger. S operacijama koje datiraju barem iz 2016. godine, skupina ima dokumentiranu povijest ciljanja vladinih agencija, ministarstava vanjskih poslova, obrambenih subjekata i nevladinih organizacija, posebno u Južnoj Aziji i Europi.

Povijesno gledano, DoNot APT je koristio prilagođeni zlonamjerni softver, posebno YTY i GEdit, često implementiran putem spear-phishing kampanja i zlonamjernih privitaka dokumenata.

Namamljivanje mete: Phishing kao ulazna točka

Napad započinje obmanjujućom phishing e-poštom kreiranom da izgleda legitimno i pouzdano. Ove poruke, poslane s Gmail računa, lažno se predstavljaju kao obrambeni dužnosnici i sadrže naslove koji se odnose na posjet talijanskog obrambenog atašea Dhaki u Bangladešu. Važno je napomenuti da su e-poruke formatirane pomoću HTML-a s UTF-8 kodiranjem kako bi se ispravno prikazali posebni znakovi poput 'é', što doprinosi njihovoj autentičnosti.

Veza na Google Drive ugrađena u e-poruku vodi do preuzimanja RAR arhive. Ova arhiva sadrži zlonamjernu izvršnu datoteku dizajniranu za oponašanje PDF datoteke. Kada se otvori, izvršna datoteka pokreće implementaciju LoptikModa, trojanca za udaljeni pristup (RAT) koji je ekskluzivan za DoNot APT barem od 2018. godine.

Unutar zlonamjernog softvera LoptikMod

Nakon što se izvrši, LoptikMod se ugrađuje u host sustav koristeći zakazane zadatke za trajnost. Zatim se povezuje s udaljenim poslužiteljem za upravljanje i kontrolu (C2) kako bi izvodio razne zlonamjerne aktivnosti. To uključuje:

  • Slanje sistemskih informacija natrag napadačima
  • Primanje i izvršavanje dodatnih naredbi
  • Preuzimanje dodatnih zlonamjernih modula
  • Izvlačenje osjetljivih podataka

Kako bi se izbjeglo otkrivanje i otežala forenzička analiza, LoptikMod koristi anti-VM (virtualni stroj) tehnike i ASCII maskiranje, što istraživačima sigurnosti otežava analizu njegove pune funkcionalnosti. Osim toga, osigurava da se na uređaju istovremeno pokreće samo jedna instanca, sprječavajući unutarnje sukobe i smanjujući vjerojatnost otkrivanja.

Trenutni status kampanje i infrastruktura

Iako je sam LoptikMod sposoban i uporan, C2 poslužitelj uključen u najnoviji napad trenutno je neaktivan. Ta neaktivnost mogla bi značiti da je infrastruktura privremeno isključena iz mreže, trajno isključena ili zamijenjena novim, neotkrivenim poslužiteljem.

Neaktivan status poslužitelja ograničava istraživačima mogućnost analize točnih naredbi i podataka razmijenjenih između zaraženih krajnjih točaka i napadača.

Znakovi strateške promjene: europski ciljevi u fokusu

Najnovija aktivnost DoNot APT-a pokazuje znakove evolucije. Dok se grupa tradicionalno koncentrirala na interese Južne Azije, ova nedavna operacija pokazuje rastući interes za europske diplomatske obavještajne podatke, posebno one vezane uz Južnu Aziju.

Ova promjena vjerojatno ukazuje na poboljšane operativne sposobnosti i ambicioznije obavještajne ciljeve. Rukovoditelji skupine možda traže uvid u zapadne diplomatske strategije, obrambenu politiku i međunarodne angažmane s Južnom Azijom.

Ključne zaključke

Kako bi učinkovito ublažile takve napade, organizacije bi trebale započeti edukacijom svog osoblja o prepoznavanju pokušaja krađe identiteta (phishinga), čak i kada se poruke čine vrlo legitimnima. Jednako je važno kontinuirano pratiti sustave radi bilo kakvog neobičnog ponašanja, poput neočekivano zakazanih zadataka ili odlaznih veza s nepoznatim poslužiteljima, što može ukazivati na kompromitiranje.

Osim toga, implementacija sandbox alata i alata za analizu ponašanja može pomoći u otkrivanju i neutraliziranju sumnjivih izvršnih datoteka prije nego što uzrokuju štetu. Održavanje sustava potpuno ažuriranim i uključivanje najnovijih obavještajnih podataka o prijetnjama osigurava da se poznate ranjivosti brzo rješavaju. Konačno, segmentacija mreže može značajno smanjiti rizik od lateralnog širenja zlonamjernog softvera, čime se učinkovitije obuzdaju potencijalni propusti.

Zaključak: Budnost je ključna

Implementacija LoptikModa od strane DoNot APT grupe u europskoj kampanji kibernetičke špijunaže oštar je podsjetnik na razvoj krajolika prijetnji. Dok APT grupe nastavljaju poboljšavati svoje alate i širiti svoje ciljanje, posebno prema visokovrijednoj diplomatskoj imovini, organizacije moraju ostati budne i proaktivne u svojoj kibernetičkoj obrani.

U trendu

Nagledanije

Učitavam...