Ne APT

A DoNot, amelyet az infosec közösség APT-C-35 és SectorE02 néven is ismer, egy Advanced Persistent Threat (APT) hackercsoport, amelynek tevékenysége több évre visszamenőleg egészen 2012-ig nyomon követhető. Ez alatt az időszak alatt a csoport bővült. tevékenységei számos kontinensre kiterjednek – Bangladesre, Thaiföldre, Srí Lankára, Fülöp-szigetekre, Argentínára, az Egyesült Arab Emírségekre és Nagy-Britanniára. Kezdettől fogva a fő hangsúly továbbra is a dél-ázsiai régióra, Pakisztánra, Indiára és a kasmíri válságra , pontosabban a kasmíri válságra irányult.

A csoport fő szakterülete a kiberkémkedés és adatlopás. A DoNot APT fenyegető arzenált használ, amely saját rosszindulatú programjaiból áll. A legtöbb kampány egy összetett csatolási láncból áll, amely több betöltőt foglal magában, és több szakaszon megy keresztül, mielőtt a kártevők végső rakománya kiszállításra kerül. A DoNot hackerei emellett képesek megújítani és javítani kártevő-eszközeiket, folyamatosan új funkciókkal ellátva őket, vagy kifinomultabb technikákat kihasználva.

A legtöbb támadás során a DoNot APT hackerek Command-and-Control (C2, C&C) szervereket használnak, amelyeket a DigitalOcean, LLC-től (ASN 14061) béreltek és Amszterdamban találhatók. Minden új domain névhez egy újonnan kiosztott gazdagép kerül lefoglalásra.

Egyéni rosszindulatú programokat is magában foglaló összetett támadások

Bár ez nem meggyőző, elegendő közvetett bizonyíték áll rendelkezésre arra vonatkozóan, hogy a csoport kezdeti kompromisszumos vektora az MS Word dokumentumokat Office Open XML formátumban hordozó adathalász e-mailek terjesztése. A kezdeti dokumentum nem fenyegető, de visszaél a külső elemek automatikus betöltési funkciójával, hogy elindítsa a támadási lánc következő szakaszát.

A folyamat során több rakodó kerül a kompromittált rendszerre, mindegyik más-más céllal. Például egy adott kampányban a Serviceflow.exe trójai őrzőként működött, és a következő információkat gyűjtötte össze és tárolta: felhasználó és számítógép neve, operációs rendszer verziója, processzor adatai, \Program Files és \Program Files (86)\ tartalom részletei. Feladata továbbá az A64.dll és a sinter.exe fájlok letöltése és telepítése. A Sinter egy másik trójai, de a funkcionalitása jelentősen eltér. Tájékoztatja a fenyegetés szereplőit az aktuális fertőzésről úgy, hogy kérést küld egy adott URL-re, miközben a feltört rendszerről gyűjtött információkat is kiszűri a „skillsnew[.]top” oldalra. Az információ célja, hogy segítse a hackereket annak eldöntésében, hogy a célpont érdemes-e további kizsákmányolásra.

Malware-eszközök folyamatos fejlesztése

A DoNot APT számos alkalommal bizonyította, hogy továbbra is az iterációra és a fejlesztésre összpontosít. Az erőfeszítések jól láthatóak a csoport által alkalmazott különböző rakodóverziókban. A korábbi verziókban 2018 közepe előtt az összes használt karakterlánc tiszta szövegben került tárolásra, míg a későbbi verziókban a különböző szintű titkosítások bevezetése kezdődött el:

• 2018. május – Base64-gyel kódolva
• 2019. április – dupla Base64 kódolás
• 2019. január - titkosítás AES algoritmussal CBS módban, majd Base64 kódolás.
• 2019. június – szimbólumonkénti körkörös kivonás a beállított bájttömbbel, UTF-8 kódolás, majd Base64 kódolás
• 2019. október – szimbólumról szimbólumra körkörösen módosított XOR a beállított bájttömbbel, majd dupla Base64 kódolás

A DoNot APT legutóbbi megfigyelt műveletében a csoport egy új, Firestarter Trojan nevű rosszindulatú programbetöltőt telepített az Androidra. A kártevő fenyegetés célja a Firebase Cloud Messaging (FCM) nevű legitim szolgáltatással való visszaélés volt, amelyet a Google leányvállalata biztosít. A szolgáltatás többplatformos felhőalapú megoldást jelent Android, iOS és más webes alkalmazások üzeneteinek és értesítéseinek küldéséhez.

A Firestarter betöltő az FCM-et használta kommunikációs módszerként a C2 szervereivel. Egy hatékony szolgáltatás használata sokkal megnehezíti a rendellenes forgalom észlelését, mivel az keveredik a többi szokásos kommunikációval.