Jangan APT

DoNot, juga dikenali dalam komuniti infosec sebagai APT-C-35 dan SectorE02, ialah kumpulan penggodam Advanced Persistent Threat (APT) yang aktivitinya boleh dikesan beberapa tahun lalu sehingga 2012. Dalam tempoh itu, kumpulan itu telah berkembang operasinya merangkumi pelbagai sasaran yang merangkumi beberapa benua - Bangladesh, Thailand, Sri Lanka, Filipina, Argentina, Emiriah Arab Bersatu dan Great Britain. Sejak awal, tumpuan utama mereka kekal di rantau Asia Selatan dan Pakistan, India dan krisis Kashmir , lebih khusus lagi.

Pengkhususan utama kumpulan itu ialah menjalankan pengintipan siber dan kecurian data. APT DoNot menggunakan senjata mengancam yang terdiri daripada ciptaan alat perisian hasadnya sendiri. Kebanyakan kempen melibatkan rantaian lampiran kompleks yang melibatkan beberapa pemuat dan melalui beberapa peringkat sebelum penghantaran muatan perisian hasad terakhir. Penggodam DoNot juga telah mempamerkan keupayaan untuk berinovasi dan menambah baik alat perisian hasad mereka, sentiasa melengkapkan mereka dengan fungsi baharu atau memanfaatkan teknik yang lebih canggih.

Dalam kebanyakan serangannya, penggodam DoNot APT menggunakan pelayan Command-and-Control (C2, C&C) yang disewa daripada DigitalOcean, LLC (ASN 14061) dan terletak di Amsterdam. Untuk setiap nama domain baharu, hos yang baru diperuntukkan sedang ditempah.

Chaing Serangan Kompleks yang Melibatkan Perisian Hasad Tersuai

Walaupun tidak konklusif, terdapat bukti keadaan yang mencukupi bahawa vektor kompromi awal kumpulan adalah penyebaran e-mel pancingan data yang membawa dokumen MS Word dalam format Office Open XML. Dokumen awal tidak mengancam, tetapi ia menyalahgunakan fungsi autoload elemen luaran untuk memulakan peringkat seterusnya rantaian serangan.

Beberapa pemuat dijatuhkan ke sistem yang terjejas semasa proses, setiap satu ditugaskan dengan objektif yang berbeza. Contohnya, dalam kempen tertentu, Trojan Serviceflow.exe bertindak sebagai pemerhati yang mengumpul dan menyimpan maklumat berikut - nama pengguna dan komputer, versi OS, butiran pemproses, butiran kandungan \Program Files dan \Program Files (86)\ . Ia juga bertanggungjawab untuk memuat turun dan menggunakan fail A64.dll dan sinter.exe. Sinter ialah Trojan lain, tetapi fungsinya berbeza dengan ketara. Ia memberitahu pelaku ancaman tentang jangkitan semasa dengan menghantar permintaan ke URL tertentu sambil juga mengekstrak maklumat yang dikumpul tentang sistem yang terjejas ke 'skillsnew[.]top.' Maklumat ini bertujuan untuk membantu penggodam menentukan sama ada sasaran itu layak untuk dieksploitasi selanjutnya.

Pembangunan Berterusan Alat Perisian Hasad

APT DoNot telah menunjukkan beberapa kali tumpuan berterusannya pada lelaran dan penambahbaikan. Usaha itu boleh dilihat dengan mudah dalam versi pemuat berbeza yang digunakan oleh kumpulan. Dalam versi terdahulu, sebelum pertengahan 2018, semua rentetan yang digunakan telah disimpan dalam teks jelas, manakala dalam versi berikutnya, pelbagai peringkat penyulitan telah mula diperkenalkan:

• Mei 2018 - dikodkan dengan Base64
• April 2019 - pengekodan Base64 berganda
• Januari 2019 - penyulitan dengan algoritma AES dalam mod CBS diikuti dengan pengekodan Base64.
• Jun 2019 - penolakan pekeliling simbol demi simbol dengan susunan bait yang ditetapkan, pengekodan dengan UTF-8 dan diikuti dengan pengekodan Base64
• Oktober 2019 - pekeliling simbol demi simbol diubah suai XOR dengan tatasusunan bait yang ditetapkan, diikuti dengan pengekodan Base64 berganda

Dalam operasi pemerhatian terkini yang dijalankan oleh DoNot APT, kumpulan itu menggunakan pemuat perisian hasad Android baharu bernama Firestarter Trojan . Ancaman perisian hasad direka untuk menyalahgunakan perkhidmatan yang sah yang dipanggil Firebase Cloud Messaging (FCM), yang disediakan oleh anak syarikat Google. Perkhidmatan ini mewakili penyelesaian awan merentas platform untuk mesej dan pemberitahuan untuk Android, iOS dan aplikasi Web lain.

Pemuat Firestarter mengeksploitasi FCM sebagai kaedah komunikasi dengan pelayan C2nya. Penggunaan perkhidmatan yang berkesan menjadikan pengesanan trafik tidak normal menjadi lebih sukar, kerana ia digabungkan dengan komunikasi biasa lain yang dihasilkan.