LoptikMod Malware
Kempen baharu yang dikaitkan dengan kumpulan DoNot APT telah muncul, mempamerkan penggunaan jenis perisian hasad yang tersembunyi dan berterusan bernama LoptikMod. Alat ini telah dimanfaatkan dalam serangan yang disasarkan terhadap kementerian hal ehwal luar Eropah, seterusnya menunjukkan tumpuan beralih kumpulan itu melangkaui Asia Selatan.
Isi kandungan
Pelakon Ancaman Terkenal dengan Jangkauan Meluaskan
Kempen ini telah dikaitkan dengan Pasukan DoNot, kumpulan Ancaman Berterusan Lanjutan (APT) canggih yang dikenali dengan pelbagai alias, termasuk APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 dan Viceroy Tiger. Dengan operasi sejak sekurang-kurangnya 2016, kumpulan itu mempunyai sejarah yang didokumenkan dalam menyasarkan agensi kerajaan, kementerian luar, entiti pertahanan dan NGO, khususnya di Asia Selatan dan Eropah.
Dari segi sejarah, DoNot APT telah menggunakan perisian hasad tersuai, terutamanya YTY dan GEdit, sering digunakan melalui kempen pancingan lembing dan lampiran dokumen berniat jahat.
Memikat Sasaran: Pancingan data sebagai Titik Kemasukan
Serangan bermula dengan e-mel pancingan data yang menipu yang dibuat untuk kelihatan sah dan boleh dipercayai. Mesej ini, yang dihantar daripada akaun Gmail, menyamar sebagai pegawai pertahanan dan menampilkan baris subjek yang merujuk kepada lawatan oleh Atase Pertahanan Itali ke Dhaka, Bangladesh. Terutama, e-mel diformat menggunakan HTML dengan pengekodan UTF-8 untuk memaparkan aksara khas seperti 'é' dengan betul, menambah keasliannya.
Pautan Google Drive yang dibenamkan dalam e-mel membawa kepada muat turun arkib RAR. Arkib ini mengandungi boleh laku berniat jahat yang direka untuk meniru fail PDF. Apabila dibuka, boleh laku memulakan penggunaan LoptikMod, trojan akses jauh (RAT) yang eksklusif untuk DoNot APT sejak sekurang-kurangnya 2018.
Di dalam LoptikMod Malware
Setelah dilaksanakan, LoptikMod membenamkan dirinya ke dalam sistem hos menggunakan tugas berjadual untuk kegigihan. Ia kemudian bersambung ke pelayan arahan dan kawalan jauh (C2) untuk melakukan pelbagai aktiviti berniat jahat. Ini termasuk:
- Menghantar maklumat sistem kembali kepada penyerang
- Menerima dan melaksanakan arahan tambahan
- Memuat turun modul berniat jahat tambahan
- Mengeluarkan data sensitif
Untuk mengelakkan pengesanan dan menghalang analisis forensik, LoptikMod menggunakan teknik anti-VM (mesin maya) dan pengeliruan ASCII, menyukarkan penyelidik keselamatan untuk membedah fungsi penuhnya. Selain itu, ia memastikan hanya satu kejadian berjalan pada peranti pada bila-bila masa, menghalang konflik dalaman dan mengurangkan kemungkinan pengesanan.
Status dan Infrastruktur Kempen Semasa
Walaupun LoptikMod sendiri berkebolehan dan berterusan, pelayan C2 yang terlibat dalam serangan terbaru kini tidak aktif. Ketidakaktifan ini boleh bermakna infrastruktur telah dibawa ke luar talian buat sementara waktu, ditutup secara kekal atau digantikan dengan pelayan baharu yang belum ditemui.
Status tidak aktif pelayan mengehadkan keupayaan penyelidik untuk menganalisis arahan dan data yang tepat yang ditukar antara titik akhir yang dijangkiti dan penyerang.
Tanda-tanda Anjakan Strategik: Sasaran Eropah dalam Fokus
Aktiviti terbaharu DoNot APT menunjukkan tanda-tanda evolusi. Walaupun kumpulan itu secara tradisinya menumpukan perhatian kepada kepentingan Asia Selatan, operasi baru-baru ini menunjukkan minat yang semakin meningkat dalam perisikan diplomatik Eropah, khususnya yang berkaitan dengan Asia Selatan.
Peralihan ini berkemungkinan menunjukkan keupayaan operasi yang dipertingkatkan dan objektif perisikan yang lebih bercita-cita tinggi. Pengendali kumpulan itu mungkin mencari pandangan tentang strategi diplomatik Barat, dasar pertahanan dan penglibatan antarabangsa dengan Asia Selatan.
Pengambilan Utama
Untuk mengurangkan serangan sedemikian dengan berkesan, organisasi harus bermula dengan mendidik kakitangan mereka untuk mengenali percubaan pancingan data, walaupun apabila mesej kelihatan sangat sah. Sama pentingnya untuk terus memantau sistem untuk sebarang kelakuan luar biasa, seperti tugas berjadual yang tidak dijangka atau sambungan keluar ke pelayan yang tidak dikenali, yang mungkin menunjukkan kompromi.
Selain itu, melaksanakan kotak pasir dan alat analisis tingkah laku boleh membantu mengesan dan meneutralkan boleh laku yang mencurigakan sebelum ia menyebabkan bahaya. Memastikan sistem ditambal sepenuhnya dan memasukkan suapan perisikan ancaman terkini memastikan kelemahan yang diketahui ditangani dengan segera. Akhir sekali, membahagikan rangkaian boleh mengurangkan risiko perisian hasad merebak ke sisi dengan ketara, dengan itu mengandungi potensi pelanggaran dengan lebih berkesan.
Kesimpulan: Kewaspadaan Adalah Penting
Pengerahan LoptikMod kumpulan DoNot APT dalam kempen pengintipan siber Eropah merupakan peringatan yang nyata tentang landskap ancaman yang berkembang. Memandangkan kumpulan APT terus meningkatkan alat mereka dan mengembangkan sasaran mereka, terutamanya ke arah aset diplomatik bernilai tinggi, organisasi mesti kekal berwaspada dan proaktif dalam pertahanan keselamatan siber mereka.
