Malware LoptikMod
È emersa una nuova campagna attribuita al gruppo DoNot APT, che mostra l'utilizzo di un malware furtivo e persistente chiamato LoptikMod. Questo strumento è stato sfruttato in un attacco mirato contro un Ministero degli Affari Esteri europeo, a ulteriore conferma dello spostamento dell'attenzione del gruppo oltre l'Asia meridionale.
Sommario
Un noto attore di minacce con portata in espansione
La campagna è stata collegata al DoNot Team, un sofisticato gruppo di minacce persistenti avanzate (APT) noto con vari alias, tra cui APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 e Viceroy Tiger. Con operazioni che risalgono almeno al 2016, il gruppo ha una storia documentata di attacchi ad agenzie governative, ministeri degli Esteri, enti della difesa e ONG, in particolare nell'Asia meridionale e in Europa.
Storicamente, DoNot APT ha utilizzato malware creati su misura, in particolare YTY e GEdit, spesso distribuiti tramite campagne di spear-phishing e allegati di documenti dannosi.
Attirare il bersaglio: il phishing come punto di ingresso
L'attacco inizia con un'email di phishing ingannevole, creata per apparire legittima e affidabile. Questi messaggi, inviati da un account Gmail, impersonano funzionari della Difesa e presentano nell'oggetto riferimenti a una visita di un addetto alla Difesa italiano a Dhaka, in Bangladesh. In particolare, le email sono formattate utilizzando HTML con codifica UTF-8 per riprodurre correttamente caratteri speciali come "é", il che ne aumenta l'autenticità.
Un link a Google Drive incorporato nell'email porta al download di un archivio RAR. Questo archivio contiene un file eseguibile dannoso progettato per imitare un file PDF. Una volta aperto, il file eseguibile avvia l'installazione di LoptikMod, un trojan di accesso remoto (RAT) utilizzato esclusivamente da DoNot APT almeno dal 2018.
All’interno del malware LoptikMod
Una volta eseguito, LoptikMod si integra nel sistema host utilizzando attività pianificate per la persistenza. Si connette quindi a un server remoto di comando e controllo (C2) per eseguire diverse attività dannose. Tra queste:
- Invio di informazioni di sistema agli aggressori
- Ricezione ed esecuzione di comandi aggiuntivi
- Scaricamento di moduli dannosi aggiuntivi
- Esfiltrazione di dati sensibili
Per evitare il rilevamento e ostacolare l'analisi forense, LoptikMod utilizza tecniche anti-VM (macchine virtuali) e offuscamento ASCII, rendendo difficile per i ricercatori di sicurezza analizzarne tutte le funzionalità. Inoltre, garantisce che su un dispositivo venga eseguita una sola istanza alla volta, prevenendo conflitti interni e riducendo la probabilità di rilevamento.
Stato attuale della campagna e infrastruttura
Sebbene LoptikMod sia di per sé efficiente e persistente, il server C2 coinvolto nell'attacco più recente è attualmente inattivo. Questa inattività potrebbe significare che l'infrastruttura è stata temporaneamente offline, chiusa definitivamente o sostituita da un nuovo server non ancora scoperto.
Lo stato inattivo del server limita la capacità dei ricercatori di analizzare i comandi esatti e i dati scambiati tra gli endpoint infetti e gli aggressori.
Segnali di cambiamento strategico: gli obiettivi europei al centro dell’attenzione
L'ultima attività di DoNot APT mostra segni di evoluzione. Sebbene il gruppo si sia tradizionalmente concentrato sugli interessi dell'Asia meridionale, questa recente operazione dimostra un crescente interesse per l'intelligence diplomatica europea, in particolare per quanto riguarda l'Asia meridionale.
Questo cambiamento indica probabilmente maggiori capacità operative e obiettivi di intelligence più ambiziosi. I responsabili del gruppo potrebbero essere alla ricerca di informazioni sulle strategie diplomatiche occidentali, sulle politiche di difesa e sugli impegni internazionali con l'Asia meridionale.
Punti chiave
Per mitigare efficacemente tali attacchi, le organizzazioni dovrebbero iniziare a istruire il proprio personale a riconoscere i tentativi di phishing, anche quando i messaggi sembrano altamente legittimi. È altrettanto importante monitorare costantemente i sistemi per individuare eventuali comportamenti insoliti, come attività pianificate impreviste o connessioni in uscita a server sconosciuti, che potrebbero indicare una compromissione.
Inoltre, l'implementazione di strumenti di sandboxing e analisi comportamentale può aiutare a rilevare e neutralizzare gli eseguibili sospetti prima che causino danni. Mantenere i sistemi completamente aggiornati e integrare i feed di threat intelligence più recenti garantisce che le vulnerabilità note vengano affrontate tempestivamente. Infine, la segmentazione della rete può ridurre significativamente il rischio di diffusione laterale del malware, contenendo così le potenziali violazioni in modo più efficace.
Conclusione: la vigilanza è essenziale
L'impiego di LoptikMod da parte del gruppo APT DoNot in una campagna di spionaggio informatico europea è un duro monito dell'evoluzione del panorama delle minacce. Mentre i gruppi APT continuano a migliorare i propri strumenti e ad ampliare i propri obiettivi, in particolare contro risorse diplomatiche di alto valore, le organizzazioni devono rimanere vigili e proattive nelle proprie difese di sicurezza informatica.
