Ikke APT

DoNot, også kjent i infosec-fellesskapet som APT-C-35 og SectorE02, er en Advanced Persistent Threat (APT) gruppe av hackere hvis aktiviteter kan spores flere år tilbake helt til 2012. I løpet av den perioden har gruppen utvidet seg dets operasjoner omfatter et bredt spekter av mål som spenner over flere kontinenter - Bangladesh, Thailand, Sri Lanka, Filippinene, Argentina, De forente arabiske emirater og Storbritannia. Helt fra starten har hovedfokuset deres vært på Sør-Asia-regionen og Pakistan, India og Kashmir-krisen , mer spesifikt.

Konsernets hovedspesialisering er å drive nettspionasje og datatyveri. DoNot APT bruker et truende arsenal som består av sine egne skadevareverktøy. De fleste kampanjer involverer en kompleks vedleggskjede som involverer flere lastere og går gjennom flere stadier før levering av den endelige skadevarelasten. DoNot-hackerne har også vist en evne til å innovere og forbedre skadevareverktøyene sine, ved å stadig utstyre dem med nye funksjoner eller dra nytte av mer sofistikerte teknikker.

I de fleste av sine angrep bruker DoNot APT-hackerne Command-and-Control (C2, C&C)-servere leid fra DigitalOcean, LLC (ASN 14061) og lokalisert i Amsterdam. For hvert nytt domenenavn reserveres en nylig tildelt vert.

Kompleks angrepsjaging som involverer tilpasset skadelig programvare

Selv om det ikke er avgjørende, er det nok omstendigheter for at gruppens første kompromissvektor er spredning av phishing-e-poster som inneholder MS Word-dokumenter i Office Open XML-format. Det første dokumentet er ikke truende, men det misbruker autoload-funksjonaliteten til eksterne elementer for å starte neste trinn i angrepskjeden.

Flere lastere slippes ned på det kompromitterte systemet i løpet av prosessen, hver med et annet mål. For eksempel, i en spesifikk kampanje, fungerte Serviceflow.exe-trojaneren som en vakthund som samlet inn og lagret følgende informasjon - bruker- og datamaskinnavn, OS-versjon, prosessordetaljer, \Program Files og \Program Files (86)\ innholdsdetaljer. Den er også ansvarlig for å laste ned og distribuere filene A64.dll og sinter.exe. Sinter er en annen trojaner, men funksjonaliteten er vesentlig annerledes. Den informerer trusselaktørene om den nåværende infeksjonen ved å sende en forespørsel til en spesifikk URL samtidig som den eksfiltrerer informasjonen som er samlet inn om det kompromitterte systemet til 'skillsnew[.]top.' Informasjonen er ment å hjelpe hackerne med å avgjøre om målet er verdig til ytterligere utnyttelse.

Konstant utvikling av skadelig programvare

DoNot APT har ved en rekke anledninger demonstrert sitt fortsatte fokus på iterasjon og forbedring. Innsatsen kan lett sees i ulike lasterversjoner som brukes av konsernet. I de tidligere versjonene, før midten av 2018, ble alle de brukte strengene lagret i klartekst, mens i de påfølgende versjonene var det begynt å introdusere forskjellige krypteringsnivåer:

• mai 2018 - kodet med Base64
• April 2019 - dobbel Base64-koding
• Januar 2019 - kryptering med AES-algoritmen i CBS-modus etterfulgt av Base64-koding.
• Juni 2019 - symbol-for-symbol sirkulær subtraksjon med den angitte rekken av byte, kode med UTF-8, og etterfulgt av Base64-koding
• Oktober 2019 - symbol-for-symbol sirkulær modifisert XOR med den angitte rekken av byte, etterfulgt av dobbel Base64-koding

I den siste observerte operasjonen utført av DoNot APT, implementerte gruppen en ny Android-malwarelaster kalt Firestarter Trojan . Skadevaretrusselen ble designet for å misbruke en legitim tjeneste kalt Firebase Cloud Messaging (FCM), levert av et datterselskap av Google. Tjenesten representerer en skyløsning på tvers av plattformer for meldinger og varsler for Android, iOS og andre nettapplikasjoner.

Firestarter-lasteren utnyttet FCM som en kommunikasjonsmetode med sine C2-servere. Bruken av en effektiv tjeneste gjør oppdagelsen av den unormale trafikken mye vanskeligere, siden den blandes med den andre vanlige kommunikasjonen som genereres.