„LoptikMod“ kenkėjiška programa
Paskelbta nauja „DoNot APT“ grupei priskiriama kampanija, kurioje demonstruojamas slaptas ir nuolatinis kenkėjiškos programos „LoptikMod“ panaudojimas. Šis įrankis buvo panaudotas tikslinėje atakoje prieš Europos užsienio reikalų ministeriją, o tai dar labiau rodo, kad grupės dėmesys perkeliamas už Pietų Azijos ribų.
Turinys
Žinomas grėsmės veikėjas, kurio aprėptis plečiasi
Kampanija buvo siejama su „DoNot Team“ – sudėtinga pažangių nuolatinių grėsmių (APT) grupe, žinoma įvairiais slapyvardžiais, įskaitant APT-C-35, „Mint Tempest“, „Origami Elephant“, SECTOR02 ir „Viceroy Tiger“. Grupuotė, kurios operacijos vykdomos mažiausiai nuo 2016 m., turi dokumentuotą istoriją apie taikinius, nukreiptus prieš vyriausybines agentūras, užsienio reikalų ministerijas, gynybos organizacijas ir NVO, ypač Pietų Azijoje ir Europoje.
Istoriškai „DoNot APT“ naudodavo specialiai sukurtas kenkėjiškas programas, ypač „YTY“ ir „GEdit“, dažnai diegiamas per tikslines sukčiavimo kampanijas ir kenkėjiškus dokumentų priedus.
Taikinio viliojimas: sukčiavimas apsimetant kaip patekimo taškas
Ataka prasideda apgaulingu sukčiavimo el. laišku, sukurtu taip, kad atrodytų teisėtas ir patikimas. Šie pranešimai, išsiųsti iš „Gmail“ paskyros, apsimetinėja gynybos pareigūnais ir jų temose nurodomas Italijos gynybos atašė vizitas Dakoje, Bangladeše. Pažymėtina, kad el. laiškai suformatuoti naudojant HTML su UTF-8 kodavimu, kad specialieji simboliai, tokie kaip „é“, būtų atvaizduojami teisingai, taip padidinant jų autentiškumą.
El. laiške įterpta „Google“ disko nuoroda nukreipia į RAR archyvo atsisiuntimą. Šiame archyve yra kenkėjiškas vykdomasis failas, sukurtas PDF failui imituoti. Atidarius vykdomąjį failą, paleidžiamas „LoptikMod“ – nuotolinės prieigos Trojos arklys (RAT), kuris nuo mažiausiai 2018 m. yra skirtas tik „DoNot APT“.
„LoptikMod“ kenkėjiškos programos viduje
Paleidus „LoptikMod“, jis įsijungia į pagrindinę sistemą naudodamas suplanuotas užduotis, kad būtų užtikrintas pastovumas. Tada jis prisijungia prie nuotolinio komandų ir valdymo (C2) serverio, kad atliktų įvairius kenkėjiškus veiksmus. Tai apima:
- Sistemos informacijos siuntimas užpuolikams
- Papildomų komandų gavimas ir vykdymas
- Papildomų kenkėjiškų modulių atsisiuntimas
- Neskelbtinų duomenų išgavimas
Siekdamas išvengti aptikimo ir trukdyti teismo ekspertizei, „LoptikMod“ naudoja anti-VM (virtualios mašinos) metodus ir ASCII kodo maskavimą, todėl saugumo tyrėjams sunku išanalizuoti visą jos funkcionalumą. Be to, ji užtikrina, kad įrenginyje vienu metu veiktų tik vienas egzempliorius, taip užkertant kelią vidiniams konfliktams ir sumažinant aptikimo tikimybę.
Dabartinė kampanijos būsena ir infrastruktūra
Nors pats „LoptikMod“ yra pajėgus ir atkaklus, naujausioje atakoje dalyvavęs C2 serveris šiuo metu yra neaktyvus. Šis neaktyvumas gali reikšti, kad infrastruktūra buvo laikinai išjungta, visam laikui išjungta arba pakeista nauju, neaptiktu serveriu.
Neaktyvi serverio būsena riboja tyrėjų galimybes analizuoti tikslias komandas ir duomenis, kuriais keičiamasi tarp užkrėstų galinių taškų ir užpuolikų.
Strateginio poslinkio požymiai: dėmesio centre – Europos tikslai
Naujausia „DoNot APT“ veikla rodo evoliucijos požymių. Nors tradiciškai grupė daugiausia dėmesio skyrė Pietų Azijos interesams, ši naujausia operacija rodo augantį susidomėjimą Europos diplomatine žvalgyba, ypač susijusia su Pietų Azija.
Šis pokytis greičiausiai rodo padidėjusius operacinius pajėgumus ir ambicingesnius žvalgybos tikslus. Grupės vadovai gali siekti įžvalgų apie Vakarų diplomatines strategijas, gynybos politiką ir tarptautinius ryšius su Pietų Azija.
Svarbiausios išvados
Siekdamos veiksmingai sušvelninti tokias atakas, organizacijos turėtų pradėti nuo darbuotojų mokymo atpažinti sukčiavimo bandymus, net kai žinutės atrodo labai teisėtos. Taip pat svarbu nuolat stebėti sistemas, ar nėra neįprasto elgesio, pavyzdžiui, netikėtų suplanuotų užduočių ar išeinančių ryšių su nepažįstamais serveriais, kurie gali rodyti įsilaužimą.
Be to, įdiegus smėlio dėžės ir elgsenos analizės įrankius, galima aptikti ir neutralizuoti įtartinus vykdomuosius failus, kol jie nepadarė žalos. Nuolat atnaujinant sistemas ir įtraukiant naujausius grėsmių žvalgybos duomenis, užtikrinama, kad žinomi pažeidžiamumai būtų greitai pašalinti. Galiausiai, tinklo segmentavimas gali gerokai sumažinti kenkėjiškų programų plitimo horizontaliai riziką, taip veiksmingiau suvaldant galimus pažeidimus.
Išvada: budrumas yra būtinas
„DoNot APT“ grupės „LoptikMod“ panaudojimas Europos kibernetinio šnipinėjimo kampanijoje yra ryškus priminimas apie besikeičiantį grėsmių kraštovaizdį. APT grupėms toliau tobulinant savo įrankius ir plečiant taikinius, ypač į didelės vertės diplomatinius išteklius, organizacijos privalo išlikti budrios ir iniciatyvios savo kibernetinio saugumo gynybos srityje.
