Nemojte APT

DoNot, također poznat u infosec zajednici kao APT-C-35 i SectorE02, grupa je hakera za naprednu trajnu prijetnju (APT) čije se aktivnosti mogu pratiti nekoliko godina unazad sve do 2012. Tijekom tog razdoblja grupa se proširila njegove operacije uključuju širok raspon ciljeva koji se protežu na nekoliko kontinenata - Bangladeš, Tajland, Šri Lanku, Filipine, Argentinu, Ujedinjene Arapske Emirate i Veliku Britaniju. Od samog početka, njihov glavni fokus ostao je na regiji južne Azije i Pakistanu, Indiji i Kašmirskoj krizi , točnije.

Glavna specijalizacija grupe je provođenje kiberšpijunaže i krađe podataka. DoNot APT koristi prijeteći arsenal koji se sastoji od vlastitih kreacija zlonamjernih alata. Većina kampanja uključuje složeni lanac pričvršćivanja koji uključuje nekoliko učitavača i prolazi kroz više faza prije isporuke konačnog sadržaja zlonamjernog softvera. DoNot hakeri također su pokazali sposobnost inoviranja i poboljšanja svojih zlonamjernih alata, neprestano ih opremajući novim funkcionalnostima ili iskorištavajući prednosti sofisticiranijih tehnika.

U većini svojih napada, DoNot APT hakeri koriste Command-and-Control (C2, C&C) poslužitelje iznajmljene od DigitalOcean, LLC (ASN 14061) i smještene u Amsterdamu. Za svaki novi naziv domene rezervira se novododijeljeni host.

Složeno praćenje napada koji uključuje prilagođeni zlonamjerni softver

Iako nije konačan, postoji dovoljno posrednih dokaza da je početni kompromisni vektor grupe širenje phishing e-poruka koje nose MS Word dokumente u Office Open XML formatu. Početni dokument nije prijeteći, ali zlorabi funkciju automatskog učitavanja vanjskih elemenata kako bi pokrenuo sljedeću fazu lanca napada.

Nekoliko utovarivača se baca na kompromitirani sustav tijekom procesa, a svaki ima zadatak s drugačijim ciljem. Na primjer, u određenoj kampanji trojanac Serviceflow.exe djelovao je kao nadzornik koji je prikupljao i pohranjivao sljedeće podatke - naziv korisnika i računala, verziju OS-a, pojedinosti o procesoru, \Programske datoteke i \Programske datoteke (86)\ pojedinosti o sadržaju. Također je odgovoran za preuzimanje i implementaciju datoteka A64.dll i sinter.exe. Sinter je još jedan trojanac, ali njegova se funkcionalnost značajno razlikuje. On obavještava aktere prijetnje o trenutnoj zarazi slanjem zahtjeva na određeni URL, dok također eksfiltrira prikupljene podatke o kompromitiranom sustavu na 'skillsnew[.]top.' Svrha informacija je pomoći hakerima da utvrde je li cilj vrijedan daljnje eksploatacije.

Stalni razvoj zlonamjernih alata

DoNot APT je u brojnim prilikama pokazao svoju kontinuiranu usredotočenost na ponavljanje i poboljšanje. Napori se lako mogu vidjeti u različitim verzijama utovarivača koje koristi grupa. U ranijim verzijama, prije sredine 2018., svi korišteni nizovi bili su pohranjeni u jasnom tekstu, dok su se u kasnijim verzijama počele uvoditi različite razine enkripcije:

• Svibanj 2018. - kodirano s Base64
• Travanj 2019. - dvostruko Base64 kodiranje
• Siječanj 2019. - šifriranje s AES algoritmom u CBS načinu praćeno Base64 kodiranjem.
• Lipanj 2019. - kružno oduzimanje simbol po simbol s postavljenim nizom bajtova, kodiranje s UTF-8 i nakon toga Base64 kodiranje
• Listopad 2019. - kružni modificirani XOR simbol po simbol s postavljenim nizom bajtova, nakon čega slijedi dvostruko Base64 kodiranje

U posljednjoj promatranoj operaciji koju je proveo DoNot APT, grupa je postavila novi Android učitavač zlonamjernog softvera pod nazivom Firestarter Trojan . Prijetnja zlonamjernim softverom osmišljena je kako bi se zloupotrijebila legitimna usluga pod nazivom Firebase Cloud Messaging (FCM), koju je osigurala podružnica Googlea. Usluga predstavlja višeplatformsko cloud rješenje za poruke i obavijesti za Android, iOS i druge web aplikacije.

Firestarter loader je iskoristio FCM kao komunikacijsku metodu sa svojim C2 poslužiteljima. Korištenje učinkovite usluge čini otkrivanje nenormalnog prometa mnogo težim, jer je pomiješan s ostalim normalnim komunikacijama koje se generiraju.