Ne APT

„DoNot“, infosec bendruomenėje taip pat žinomas kaip APT-C-35 ir SectorE02, yra įsilaužėlių grupė „Advanced Persistent Threat“ (APT), kurios veiklą galima atsekti kelerius metus iki 2012 m. Per tą laikotarpį grupė išsiplėtė. jos veikla apima daugybę taikinių, apimančių kelis žemynus – Bangladešą, Tailandą, Šri Lanką, Filipinus, Argentiną, Jungtinius Arabų Emyratus ir Didžiąją Britaniją. Nuo pat pradžių, pagrindinis jų dėmesys išliko ant Pietų Azijos regione ir Pakistano, Indijos ir Kašmyro krizės, konkrečiau.

Pagrindinė grupės specializacija – vykdyti kibernetinį šnipinėjimą ir duomenų vagystes. „DoNot APT“ naudoja grėsmingą arsenalą, sudarytą iš savo kenkėjiškų programų įrankių. Dauguma kampanijų apima sudėtingą prijungimo grandinę, apimančią kelis kroviklius ir kuri praeina kelis etapus prieš pateikiant galutinę kenkėjiškų programų naudingąją apkrovą. „DoNot“ įsilaužėliai taip pat parodė gebėjimą diegti naujoves ir tobulinti savo kenkėjiškų programų įrankius, nuolat aprūpindami juos naujomis funkcijomis arba pasinaudodami sudėtingesnėmis technikomis.

Daugumoje atakų DoNot APT įsilaužėliai naudoja komandų ir valdymo (C2, C&C) serverius, nuomojamus iš DigitalOcean, LLC (ASN 14061) ir esančius Amsterdame. Kiekvienam naujam domeno vardui rezervuojamas naujai paskirtas pagrindinis kompiuteris.

Sudėtingas atakų ieškojimas, apimantis tinkintą kenkėjišką programą

Nors tai nėra įtikinama, yra pakankamai netiesioginių įrodymų, kad pradinis grupės kompromiso vektorius yra sukčiavimo el. laiškų, kuriuose yra MS Word dokumentai Office Open XML formatu, platinimas. Pradinis dokumentas nekelia grėsmės, tačiau jame piktnaudžiaujama išorinių elementų automatinio įkėlimo funkcija, kad būtų pradėtas kitas atakos grandinės etapas.

Proceso metu į pažeistą sistemą nuleidžiami keli krautuvai, kurių kiekvienas turi skirtingą tikslą. Pavyzdžiui, konkrečioje kampanijoje „Serviceflow.exe“ Trojos arklys veikė kaip sargybinis, rinkdamas ir saugodamas šią informaciją – vartotojo ir kompiuterio pavadinimą, OS versiją, procesoriaus informaciją, \Program Files ir \Program Files (86)\ turinio informaciją. Ji taip pat atsakinga už failų A64.dll ir sinter.exe atsisiuntimą ir diegimą. Sinter yra dar vienas Trojos arklys, tačiau jo funkcionalumas labai skiriasi. Jis informuoja grėsmės subjektus apie esamą infekciją, siųsdamas užklausą konkrečiu URL, kartu išfiltruodamas surinktą informaciją apie pažeistą sistemą į „skillsnew[.]top“. Informacija skirta padėti įsilaužėliams nustatyti, ar taikinys vertas tolesnio eksploatavimo.

Nuolatinis kenkėjiškų programų įrankių kūrimas

„DoNot APT“ daug kartų įrodė, kad nuolat koncentruojasi į iteraciją ir tobulinimą. Pastangos gali būti lengvai matomos įvairiose grupės naudojamose krautuvų versijose. Ankstesnėse versijose iki 2018 m. vidurio visos naudotos eilutės buvo saugomos aiškiu tekstu, o vėlesnėse versijose buvo pradėtas diegti įvairaus lygio šifravimas:

• 2018 m. gegužės mėn. – užkoduota Base64
• 2019 m. balandžio mėn. – dviguba Base64 koduotė
• 2019 m. sausio mėn. – šifravimas naudojant AES algoritmą CBS režimu, po kurio seka Base64 kodavimas.
• 2019 m. birželio mėn. – apvalus atėmimas po simbolio su nustatytu baitų masyvu, užkoduotas UTF-8 ir Base64 kodavimas
• 2019 m. spalio mėn. – ratas po simbolio modifikuotas XOR su nustatytu baitų masyvu, po kurio seka dviguba Base64 koduotė

Per naujausią stebėtą operaciją, kurią atliko DoNot APT, grupė įdiegė naują „Android“ kenkėjiškų programų įkroviklį, pavadintą „ Firestarter Trojan“ . Kenkėjiškų programų grėsmė buvo sukurta siekiant piktnaudžiauti teisėta paslauga, vadinama „Firebase Cloud Messaging“ (FCM), kurią teikia „Google“ dukterinė įmonė. Ši paslauga yra kelių platformų debesies sprendimas, skirtas pranešimams ir pranešimams, skirtiems „Android“, „iOS“ ir kitoms žiniatinklio programoms.

„Firestarter“ įkroviklis išnaudojo FCM kaip ryšio metodą su savo C2 serveriais. Naudojant veiksmingą paslaugą, neįprasto srauto aptikimas tampa daug sunkesnis, nes jis sumaišomas su kitais įprastais generuojamais ryšiais.