DoNot APT

DoNot, noto anche nella comunità infosec come APT-C-35 e SectorE02, è un gruppo di hacker Advanced Persistent Threat (APT) le cui attività possono essere fatte risalire a diversi anni fa fino al 2012. Durante quel periodo, il gruppo si è ampliato le sue operazioni per includere una vasta gamma di obiettivi in diversi continenti: Bangladesh, Thailandia, Sri Lanka, Filippine, Argentina, Emirati Arabi Uniti e Gran Bretagna. Fin dall'inizio, il loro obiettivo principale è rimasto sulla regione dell'Asia meridionale e sul Pakistan, l'India e la crisi del Kashmir , più specificamente.

La principale specializzazione del gruppo è condurre attività di spionaggio informatico e furto di dati. Il DoNot APT utilizza un arsenale minaccioso composto dalle proprie creazioni di strumenti malware. La maggior parte delle campagne comporta una complessa catena di collegamento che coinvolge diversi caricatori e attraversa più fasi prima della consegna del payload malware finale. Gli hacker di DoNot hanno anche mostrato la capacità di innovare e migliorare i loro strumenti malware, dotandoli costantemente di nuove funzionalità o sfruttando tecniche più sofisticate.

Nella maggior parte dei suoi attacchi, gli hacker DoNot APT utilizzano server Command-and-Control (C2, C&C) noleggiati da DigitalOcean, LLC (ASN 14061) e situati ad Amsterdam. Per ogni nuovo nome a dominio viene riservato un nuovo host allocato.

Attacchi complessi che coinvolgono malware personalizzati

Sebbene non conclusivi, ci sono prove circostanziali sufficienti che il vettore di compromesso iniziale del gruppo sia la diffusione di e-mail di phishing che trasportano documenti MS Word in formato Office Open XML. Il documento iniziale non è minaccioso, ma abusa della funzionalità di caricamento automatico di elementi esterni per avviare la fase successiva della catena di attacco.

Diversi caricatori vengono rilasciati sul sistema compromesso durante il processo, ciascuno con un obiettivo diverso. Ad esempio, in una campagna specifica, il Trojan Serviceflow.exe ha agito come un watchdog raccogliendo e archiviando le seguenti informazioni: nome utente e computer, versione del sistema operativo, dettagli del processore, \Programmi e \Programmi (86)\ dettagli del contenuto. È anche responsabile del download e della distribuzione dei file A64.dll e sinter.exe. Sinter è un altro Trojan, ma la sua funzionalità è significativamente diversa. Informa gli attori della minaccia sull'infezione in corso inviando una richiesta a un URL specifico e allo stesso tempo esfiltrando le informazioni raccolte sul sistema compromesso a "skillsnew[.]top". Le informazioni hanno lo scopo di aiutare gli hacker a determinare se l'obiettivo è degno di ulteriore sfruttamento.

Sviluppo costante di strumenti malware

Il DoNot APT ha dimostrato in numerose occasioni la sua continua attenzione all'iterazione e al miglioramento. Gli sforzi sono facilmente riscontrabili nelle diverse versioni di caricatore impiegate dal gruppo. Nelle versioni precedenti, prima della metà del 2018, tutte le stringhe utilizzate erano archiviate in chiaro, mentre nelle versioni successive erano stati introdotti vari livelli di crittografia:

• Maggio 2018 - codificato con Base64
• Aprile 2019 - doppia codifica Base64
• Gennaio 2019 - crittografia con algoritmo AES in modalità CBS seguita da codifica Base64.
• Giugno 2019 - sottrazione circolare simbolo per simbolo con l'array di byte impostato, codifica con UTF-8 e seguita dalla codifica Base64
• Ottobre 2019 - XOR modificato circolare simbolo per simbolo con l'array di byte impostato, seguito dalla doppia codifica Base64

Nell'ultima operazione osservata condotta da DoNot APT, il gruppo ha implementato un nuovo caricatore di malware Android chiamato Firestarter Trojan. La minaccia malware è stata progettata per abusare di un servizio legittimo chiamato Firebase Cloud Messaging (FCM), fornito da una sussidiaria di Google. Il servizio rappresenta una soluzione cloud multipiattaforma per messaggi e notifiche per Android, iOS e altre applicazioni Web.

Il caricatore Firestarter ha sfruttato FCM come metodo di comunicazione con i suoi server C2. L'utilizzo di un servizio efficace rende molto più difficile il rilevamento del traffico anomalo, in quanto mescolato con le altre normali comunicazioni generate.