កុំ APT
DoNot ដែលត្រូវបានគេស្គាល់ផងដែរនៅក្នុងសហគមន៍ infosec ថា APT-C-35 និង SectorE02 គឺជាក្រុម Hacker កម្រិតខ្ពស់ (APT) ដែលសកម្មភាពរបស់ពួកគេអាចត្រូវបានគេតាមដានជាច្រើនឆ្នាំកន្លងមករហូតដល់ឆ្នាំ 2012។ ក្នុងអំឡុងពេលនោះ ក្រុមនេះបានពង្រីក ប្រតិបត្តិការរបស់ខ្លួនដើម្បីរួមបញ្ចូលគោលដៅជាច្រើនដែលលាតសន្ធឹងលើទ្វីបជាច្រើនដូចជា៖ បង់ក្លាដែស ថៃ ស្រីលង្កា ហ្វីលីពីន អាហ្សង់ទីន អារ៉ាប់រួម និងចក្រភពអង់គ្លេស។ ស្តាំពីការចាប់ផ្តើមនេះបានផ្តោតសំខាន់របស់ពួកគេនៅតែមាននៅលើតំបន់អាស៊ីខាងត្បូងនិងប្រទេសប៉ាគីស្ថានឥណ្ឌានិងវិបត្តិតំបន់កាស្មៀរ, ពិសេសជាច្រើនទៀត។
ឯកទេសចម្បងរបស់ក្រុមគឺធ្វើចារកម្មតាមអ៊ីនធឺណិត និងការលួចទិន្នន័យ។ DoNot APT ប្រើប្រាស់ឃ្លាំងអាវុធគំរាមកំហែងដែលរួមមានការបង្កើតឧបករណ៍មេរោគផ្ទាល់ខ្លួនរបស់វា។ យុទ្ធនាការភាគច្រើនពាក់ព័ន្ធនឹងខ្សែសង្វាក់ភ្ជាប់ដ៏ស្មុគស្មាញដែលពាក់ព័ន្ធនឹងកម្មវិធីផ្ទុកទិន្នន័យជាច្រើន និងឆ្លងកាត់ដំណាក់កាលជាច្រើន មុនពេលការចែកចាយកម្មវិធីផ្ទុកមេរោគចុងក្រោយ។ ពួក Hacker DoNot ក៏បានបង្ហាញសមត្ថភាពក្នុងការច្នៃប្រឌិត និងកែលម្អឧបករណ៍មេរោគរបស់ពួកគេ ដោយបំពាក់ឱ្យពួកគេនូវមុខងារថ្មីៗជានិច្ច ឬទាញយកអត្ថប្រយោជន៍ពីបច្ចេកទេសទំនើបជាងមុន។
នៅក្នុងការវាយប្រហារភាគច្រើនរបស់ខ្លួន ពួក Hacker DoNot APT ប្រើម៉ាស៊ីនមេ Command-and-Control (C2, C&C) ដែលជួលពី DigitalOcean, LLC (ASN 14061) ហើយមានទីតាំងនៅ Amsterdam ។ សម្រាប់ឈ្មោះដែនថ្មីនីមួយៗ ម៉ាស៊ីនដែលបានបែងចែកថ្មីកំពុងត្រូវបានបម្រុងទុក។
Complex Attack Chaing ពាក់ព័ន្ធនឹងមេរោគផ្ទាល់ខ្លួន
ខណៈពេលដែលមិនទាន់សន្និដ្ឋាន មានភស្តុតាងគ្រប់គ្រាន់ដែលថាវ៉ិចទ័រសម្របសម្រួលដំបូងរបស់ក្រុមគឺការផ្សព្វផ្សាយអ៊ីមែលបន្លំដែលផ្ទុកឯកសារ MS Word ក្នុងទម្រង់ Office Open XML ។ ឯកសារដំបូងមិនគំរាមកំហែងទេ ប៉ុន្តែវាបំពានមុខងារនៃការផ្ទុកដោយស្វ័យប្រវត្តិនៃធាតុខាងក្រៅ ដើម្បីចាប់ផ្តើមដំណាក់កាលបន្ទាប់នៃសង្វាក់វាយប្រហារ។
ឧបករណ៍ផ្ទុកជាច្រើនត្រូវបានទម្លាក់ទៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលកំឡុងពេលដំណើរការ ដែលនីមួយៗត្រូវបានបំពេញភារកិច្ចដោយគោលបំណងផ្សេងគ្នា។ ឧទាហរណ៍ នៅក្នុងយុទ្ធនាការជាក់លាក់មួយ Serviceflow.exe Trojan ដើរតួជាអ្នកឃ្លាំមើលប្រមូល និងរក្សាទុកព័ត៌មានខាងក្រោម - ឈ្មោះអ្នកប្រើប្រាស់ និងកុំព្យូទ័រ កំណែប្រព័ន្ធប្រតិបត្តិការ ព័ត៌មានលម្អិតអំពីដំណើរការ \កម្មវិធីឯកសារ និង ឯកសារកម្មវិធី (86)\ ព័ត៌មានលម្អិតខ្លឹមសារ។ វាក៏ទទួលខុសត្រូវចំពោះការទាញយក និងដាក់ពង្រាយឯកសារ A64.dll និង sinter.exe ផងដែរ។ Sinter គឺជា Trojan មួយផ្សេងទៀត ប៉ុន្តែមុខងាររបស់វាគឺខុសគ្នាខ្លាំង។ វាជូនដំណឹងដល់អ្នកគម្រាមកំហែងអំពីការឆ្លងបច្ចុប្បន្នដោយការផ្ញើសំណើទៅកាន់ URL ជាក់លាក់មួយ ខណៈពេលដែលការទាញយកព័ត៌មានដែលប្រមូលបានអំពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលទៅ 'ជំនាញថ្មី[.]កំពូល។' ព័ត៌មាននេះមានគោលបំណងជួយពួក Hacker កំណត់ថាតើគោលដៅនោះសក្ដិសមនឹងការកេងប្រវ័ញ្ចបន្ថែមទៀតឬអត់។
ការអភិវឌ្ឍន៍ឥតឈប់ឈរនៃឧបករណ៍ Malware
DoNot APT បានបង្ហាញក្នុងឱកាសជាច្រើនដែលបន្តផ្តោតទៅលើការធ្វើឡើងវិញ និងការកែលម្អ។ កិច្ចខិតខំប្រឹងប្រែងអាចត្រូវបានគេមើលឃើញយ៉ាងងាយស្រួលនៅក្នុងកំណែកម្មវិធីផ្ទុកផ្សេងគ្នាដែលជួលដោយក្រុម។ នៅក្នុងកំណែមុននេះ មុនពាក់កណ្តាលឆ្នាំ 2018 ខ្សែអក្សរដែលបានប្រើទាំងអស់ត្រូវបានរក្សាទុកជា cleartext ខណៈដែលនៅក្នុងកំណែបន្តបន្ទាប់ កម្រិតផ្សេងៗនៃការអ៊ិនគ្រីបបានចាប់ផ្តើមត្រូវបានណែនាំ៖
- ឧសភា 2018 - អ៊ិនកូដជាមួយ Base64
- ខែមេសា ឆ្នាំ 2019 - ការអ៊ិនកូដ Base64 ពីរដង
- ខែមករា ឆ្នាំ 2019 - ការអ៊ិនគ្រីបជាមួយក្បួនដោះស្រាយ AES នៅក្នុងរបៀប CBS អមដោយការអ៊ិនកូដ Base64 ។
- ខែមិថុនា ឆ្នាំ 2019 - ការដករាងជារង្វង់និមិត្តសញ្ញាដោយនិមិត្តសញ្ញាជាមួយអារេសំណុំនៃបៃ អ៊ិនកូដជាមួយ UTF-8 និងបន្តដោយការអ៊ិនកូដ Base64
- ខែតុលា ឆ្នាំ 2019 - និមិត្តសញ្ញាដោយនិមិត្តសញ្ញារាងជារង្វង់បានកែប្រែ XOR ជាមួយនឹងសំណុំនៃបៃ អមដោយការអ៊ិនកូដ Base64 ពីរដង
នៅក្នុងប្រតិបត្តិការដែលបានសង្កេតចុងក្រោយបំផុតដែលធ្វើឡើងដោយ DoNot APT ក្រុមនេះបានដាក់ពង្រាយកម្មវិធីផ្ទុកមេរោគ Android ថ្មីមួយដែលមានឈ្មោះថា Firestarter Trojan ។ ការគំរាមកំហែងមេរោគនេះត្រូវបានរចនាឡើងដើម្បីបំពានសេវាកម្មស្របច្បាប់ដែលហៅថា Firebase Cloud Messaging (FCM) ដែលផ្តល់ដោយក្រុមហ៊ុនបុត្រសម្ព័ន្ធរបស់ Google ។ សេវាកម្មនេះតំណាងឱ្យដំណោះស្រាយពពកឆ្លងវេទិកាសម្រាប់សារ និងការជូនដំណឹងសម្រាប់ Android, iOS និងកម្មវិធីគេហទំព័រផ្សេងទៀត។
កម្មវិធី Firestarter ទាញយកប្រយោជន៍ FCM ជាវិធីសាស្រ្តទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 របស់វា។ ការប្រើប្រាស់សេវាកម្មប្រកបដោយប្រសិទ្ធភាពធ្វើឱ្យការរកឃើញនៃចរាចរណ៍មិនប្រក្រតីកាន់តែពិបាក ដោយសារវាត្រូវបានបញ្ចូលគ្នាជាមួយនឹងការទំនាក់ទំនងធម្មតាផ្សេងទៀតដែលកំពុងត្រូវបានបង្កើត។
