Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra LoptikMod ļaunprogrammatūra

LoptikMod ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Ir parādījusies jauna kampaņa, kas piedēvēta DoNot APT grupai, demonstrējot slepena un noturīga ļaunprogrammatūras paveida LoptikMod izmantošanu. Šis rīks ir izmantots mērķtiecīgā uzbrukumā Eiropas Savienības Ārlietu ministrijai, kas vēl vairāk norāda uz grupas uzmanības pārorientēšanu ārpus Dienvidāzijas.

Zināms draudu izpildītājs ar paplašinātu darbības jomu

Kampaņa ir saistīta ar DoNot komandu — sarežģītu Advanced Persistent Threat (APT) grupu, kas pazīstama ar dažādiem pseidonīmiem, tostarp APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 un Viceroy Tiger. Grupai ir dokumentēta vēsture, kurā tā ir uzbrukusi valdības aģentūrām, ārlietu ministrijām, aizsardzības organizācijām un NVO, īpaši Dienvidāzijā un Eiropā.

Vēsturiski DoNot APT ir izmantojis pielāgotu ļaunprogrammatūru, īpaši YTY un GEdit, kas bieži tika izvietota, izmantojot mērķtiecīgas pikšķerēšanas kampaņas un ļaunprātīgus dokumentu pielikumus.

Mērķa pievilināšana: pikšķerēšana kā ieejas punkts

Uzbrukums sākas ar maldinošu pikšķerēšanas e-pastu, kas izveidots, lai izskatītos likumīgs un uzticams. Šie ziņojumi, kas nosūtīti no Gmail konta, uzdodas par aizsardzības amatpersonām un to temata rindās ir atsauce uz Itālijas aizsardzības atašeja vizīti Dakā, Bangladešā. Jāatzīmē, ka e-pasti ir formatēti, izmantojot HTML ar UTF-8 kodējumu, lai pareizi atveidotu tādas speciālās rakstzīmes kā "é", tādējādi palielinot to autentiskumu.

E-pastā iegultā Google diska saite ved uz RAR arhīva lejupielādi. Šajā arhīvā ir ļaunprātīgs izpildāmais fails, kas paredzēts PDF faila atdarināšanai. Atverot izpildāmo failu, tiek uzsākta LoptikMod, attālās piekļuves Trojas zirga (RAT), kas ir pieejams tikai DoNot APT kopš vismaz 2018. gada, izvietošana.

LoptikMod ļaunprogrammatūras iekšpusē

Kad LoptikMod ir izpildīts, tas iegulst resursdatora sistēmā, izmantojot ieplānotus uzdevumus noturībai. Pēc tam tas izveido savienojumu ar attālo komandu un vadības (C2) serveri, lai veiktu dažādas ļaunprātīgas darbības. Tās ietver:

  • Sistēmas informācijas nosūtīšana atpakaļ uzbrucējiem
  • Papildu komandu saņemšana un izpilde
  • Papildu ļaunprātīgu moduļu lejupielāde
  • Sensitīvu datu izvilkšana

Lai izvairītos no atklāšanas un kavētu kriminālistisko analīzi, LoptikMod izmanto pretvirtuālo mašīnu (VM) metodes un ASCII kodēšanas slēpšanu, apgrūtinot drošības pētniekiem tā pilnīgas funkcionalitātes analīzi. Turklāt tas nodrošina, ka ierīcē vienlaikus darbojas tikai viens eksemplārs, novēršot iekšējus konfliktus un samazinot atklāšanas iespējamību.

Pašreizējais kampaņas statuss un infrastruktūra

Lai gan LoptikMod pats par sevi ir spējīgs un noturīgs, C2 serveris, kas iesaistīts jaunākajā uzbrukumā, pašlaik ir neaktīvs. Šī neaktivitāte var nozīmēt, ka infrastruktūra ir īslaicīgi atslēgta, neatgriezeniski slēgta vai aizstāta ar jaunu, neatklātu serveri.

Servera neaktīvais statuss ierobežo pētnieku iespējas analizēt precīzas komandas un datus, ar kuriem tiek apmainītas inficētās galapunktu un uzbrucēju komandas.

Stratēģiskās maiņas pazīmes: uzmanības centrā Eiropas mērķi

DoNot APT jaunākā aktivitāte liecina par evolūcijas pazīmēm. Lai gan grupa tradicionāli ir koncentrējusies uz Dienvidāzijas interesēm, šī nesenā operācija demonstrē pieaugošu interesi par Eiropas diplomātisko izlūkošanu, īpaši saistībā ar Dienvidāziju.

Šīs pārmaiņas, visticamāk, liecina par uzlabotām operatīvajām spējām un ambiciozākiem izlūkošanas mērķiem. Grupas vadītāji, iespējams, meklē ieskatu Rietumu diplomātiskajās stratēģijās, aizsardzības politikā un starptautiskajās attiecībās ar Dienvidāziju.

Galvenie secinājumi

Lai efektīvi mazinātu šādus uzbrukumus, organizācijām jāsāk ar darbinieku apmācību atpazīt pikšķerēšanas mēģinājumus pat tad, ja ziņojumi šķiet ļoti patiesi. Tikpat svarīgi ir nepārtraukti uzraudzīt sistēmas, lai konstatētu jebkādu neparastu uzvedību, piemēram, negaidītus ieplānotus uzdevumus vai izejošos savienojumus ar nepazīstamiem serveriem, kas varētu liecināt par kompromitēšanu.

Turklāt smilškastes un uzvedības analīzes rīku ieviešana var palīdzēt atklāt un neitralizēt aizdomīgus izpildāmos failus, pirms tie nodara kaitējumu. Sistēmu pilnīga atjaunināšana un jaunāko apdraudējumu informācijas plūsmu iekļaušana nodrošina, ka zināmās ievainojamības tiek nekavējoties novērstas. Visbeidzot, tīkla segmentēšana var ievērojami samazināt ļaunprogrammatūras izplatīšanās risku, tādējādi efektīvāk ierobežojot potenciālos pārkāpumus.

Secinājums: modrība ir būtiska

DoNot APT grupas īstenotā LoptikMod ieviešana Eiropas kiberizlūkošanas kampaņā ir skarbs atgādinājums par mainīgo apdraudējumu ainavu. Tā kā APT grupas turpina uzlabot savus rīkus un paplašināt mērķauditorijas atlasi, jo īpaši attiecībā uz augstas vērtības diplomātiskajiem aktīviem, organizācijām ir jāpaliek modrām un proaktīvām kiberdrošības aizsardzības jomā.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,647
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...