Nelietojiet APT

DoNot, ko infosec kopienā pazīst arī kā APT-C-35 un SectorE02, ir Advanced Persistent Threat (APT) hakeru grupa, kuras darbību var izsekot vairākus gadus atpakaļ līdz pat 2012. gadam. Šajā periodā grupa ir paplašinājusies. tās darbības ietver plašu mērķu klāstu, kas aptver vairākus kontinentus - Bangladešu, Taizemi, Šrilanku, Filipīnas, Argentīnu, Apvienotos Arābu Emirātus un Lielbritāniju. Jau no paša sākuma viņu galvenā uzmanība tika pievērsta Dienvidāzijas reģionam un Pakistānai, Indijai un Kašmiras krīzei , konkrētāk.

Grupas galvenā specializācija ir kiberspiegošanas un datu zādzības veikšana. DoNot APT izmanto draudošu arsenālu, kas sastāv no paša izveidotiem ļaunprātīgas programmatūras rīkiem. Lielākā daļa kampaņu ietver sarežģītu pievienošanas ķēdi, kas ietver vairākus iekrāvējus un iziet vairākus posmus pirms pēdējās ļaunprātīgās programmatūras slodzes piegādes. DoNot hakeri ir arī parādījuši spēju ieviest jauninājumus un uzlabot savus ļaunprātīgas programmatūras rīkus, pastāvīgi aprīkojot tos ar jaunām funkcijām vai izmantojot sarežģītākas metodes.

Lielākajā daļā uzbrukumu DoNot APT hakeri izmanto Command-and-Control (C2, C&C) serverus, kas nomāti no DigitalOcean, LLC (ASN 14061) un atrodas Amsterdamā. Katram jaunam domēna vārdam tiek rezervēts jaunizvēlētais resursdators.

Sarežģīta uzbrukuma piedzīšana, kas ietver pielāgotu ļaunprātīgu programmatūru

Lai gan tas nav pārliecinošs, ir pietiekami daudz netiešu pierādījumu, ka grupas sākotnējais kompromisa vektors ir pikšķerēšanas e-pasta ziņojumu izplatīšana, kas satur MS Word dokumentus Office Open XML formātā. Sākotnējais dokuments nav draudīgs, taču tas ļaunprātīgi izmanto ārējo elementu automātiskās ielādes funkcionalitāti, lai uzsāktu nākamo uzbrukuma ķēdes posmu.

Procesa laikā uz kompromitētas sistēmas tiek nomesti vairāki iekrāvēji, un katram no tiem ir cits mērķis. Piemēram, konkrētā kampaņā Serviceflow.exe Trojas zirgs darbojās kā sargsuns, kas apkopoja un saglabāja šādu informāciju - lietotāja un datora nosaukumu, OS versiju, procesora informāciju, \Program Files un \Program Files (86)\ satura informāciju. Tā ir arī atbildīga par failu A64.dll un sinter.exe lejupielādi un izvietošanu. Sinter ir vēl viens Trojas zirgs, taču tā funkcionalitāte ievērojami atšķiras. Tas informē apdraudējuma dalībniekus par pašreizējo infekciju, nosūtot pieprasījumu uz konkrētu URL, vienlaikus izfiltrējot informāciju, kas savākta par apdraudēto sistēmu uz “skillsnew[.]top”. Informācija ir paredzēta, lai palīdzētu hakeriem noteikt, vai mērķis ir turpmākas izmantošanas vērts.

Pastāvīga ļaunprātīgas programmatūras rīku attīstība

DoNot APT vairākkārt ir pierādījis, ka tā nepārtraukti koncentrējas uz iterāciju un uzlabošanu. Centienus var viegli redzēt dažādās grupas izmantotajās iekrāvēju versijās. Iepriekšējās versijās līdz 2018. gada vidum visas izmantotās virknes tika glabātas skaidrā tekstā, savukārt nākamajās versijās tika sākta dažāda līmeņa šifrēšanas ieviešana:

• 2018. gada maijs — kodēts ar Base64
• 2019. gada aprīlis — dubultā Base64 kodēšana
• 2019. gada janvāris — šifrēšana ar AES algoritmu CBS režīmā, kam seko Base64 kodējums.
• 2019. gada jūnijs — apļveida atņemšana pa simbolam ar iestatīto baitu masīvu, kodē ar UTF-8 un kam seko Base64 kodējums
• 2019. gada oktobris — apļveida modificēts XOR ar simbolu pa vienam ar iestatīto baitu masīvu, kam seko dubultā Base64 kodēšana

Pēdējā novērotajā operācijā, ko veica DoNot APT, grupa izvietoja jaunu Android ļaunprātīgas programmatūras ielādētāju ar nosaukumu Firestarter Trojan . Ļaunprātīgas programmatūras draudi tika izstrādāti, lai ļaunprātīgi izmantotu likumīgu pakalpojumu Firebase Cloud Messaging (FCM), ko nodrošina Google meitasuzņēmums. Pakalpojums ir starpplatformu mākoņrisinājums ziņojumiem un paziņojumiem Android, iOS un citām tīmekļa lietojumprogrammām.

Firestarter ielādētājs izmantoja FCM kā saziņas metodi ar saviem C2 serveriem. Efektīva pakalpojuma izmantošana padara neparastas trafika noteikšanu daudz grūtāku, jo tā tiek sajaukta ar citiem parastajiem ģenerētajiem sakariem.