APT नगर्नुहोस्

DoNot, infosec समुदायमा APT-C-35 र SectorE02 को रूपमा पनि चिनिन्छ, ह्याकरहरूको एक उन्नत पर्सिस्टेन्ट थ्रेट (APT) समूह हो जसको गतिविधिहरू धेरै वर्ष पहिले 2012 सम्म पत्ता लगाउन सकिन्छ। त्यो अवधिमा, समूह विस्तार भएको छ। बंगलादेश, थाइल्याण्ड, श्रीलंका, फिलिपिन्स, अर्जेन्टिना, संयुक्त अरब इमिरेट्स र ग्रेट ब्रिटेन - धेरै महाद्वीपहरू फैलिएको लक्ष्यहरूको विस्तृत दायरा समावेश गर्न यसको सञ्चालनहरू। सुरु देखि, आफ्नो मुख्य ध्यान दक्षिण एशिया क्षेत्र र पाकिस्तान, भारत, र कश्मीर संकट, थप विशेष मा रहेका छ।

समूहको मुख्य विशेषज्ञता साइबर जासूसी र डाटा चोरी सञ्चालन गर्नु हो। DoNot APT ले यसको आफ्नै मालवेयर उपकरण सिर्जनाहरू समावेश गरी खतरापूर्ण शस्त्रागार प्रयोग गर्दछ। धेरैजसो अभियानहरूमा जटिल संलग्न चेन समावेश हुन्छ जसमा धेरै लोडरहरू समावेश हुन्छन् र अन्तिम मालवेयर पेलोडको डेलिभरी अघि धेरै चरणहरू पार हुन्छन्। DoNot ह्याकरहरूले तिनीहरूको मालवेयर उपकरणहरू नवाचार गर्ने र सुधार गर्ने क्षमता पनि प्रदर्शन गरेका छन्, तिनीहरूलाई लगातार नयाँ प्रकार्यहरूसँग लैजान वा थप परिष्कृत प्रविधिहरूको फाइदा उठाउँदै।

यसका धेरैजसो आक्रमणहरूमा, DoNot APT ह्याकरहरूले Command-and-Control (C2, C&C) सर्भरहरू DigitalOcean, LLC (ASN 14061) बाट भाडामा लिएका र एम्स्टर्डममा अवस्थित प्रयोग गर्छन्। प्रत्येक नयाँ डोमेन नामको लागि, नयाँ आवंटित होस्ट आरक्षित गरिएको छ।

जटिल हमला Chaing अनुकूलन मालवेयर समावेश

निर्णायक नभए पनि, त्यहाँ पर्याप्त परिस्थितिजन्य प्रमाणहरू छन् कि समूहको प्रारम्भिक सम्झौता भेक्टर अफिस ओपन XML ढाँचामा एमएस वर्ड कागजातहरू बोक्ने फिसिङ इमेलहरूको प्रसार हो। प्रारम्भिक कागजात धम्कीजनक छैन, तर यसले आक्रमण श्रृंखलाको अर्को चरण सुरु गर्न बाह्य तत्वहरूको अटोलोडिङ कार्यक्षमताको दुरुपयोग गर्दछ।

धेरै लोडरहरू प्रक्रियाको क्रममा सम्झौता प्रणालीमा छोडिन्छन्, प्रत्येकलाई फरक उद्देश्यका साथ काम गरिन्छ। उदाहरणका लागि, एउटा विशेष अभियानमा, Serviceflow.exe Trojan ले निम्न जानकारी सङ्कलन र भण्डारण गर्ने वाचडगको रूपमा काम गर्‍यो - प्रयोगकर्ता र कम्प्युटरको नाम, OS संस्करण, प्रोसेसर विवरणहरू, \Program Files र \Program Files (86)\ सामग्री विवरणहरू। यो A64.dll र sinter.exe फाइलहरू डाउनलोड र डिप्लोय गर्नको लागि पनि जिम्मेवार छ। सिन्टर अर्को ट्रोजन हो, तर यसको कार्यक्षमता फरक फरक छ। यसले कुनै खास URL मा अनुरोध पठाएर हालको सङ्क्रमणको बारेमा खतरा कर्ताहरूलाई जानकारी गराउँछ जबकि सम्झौता गरिएको प्रणालीको बारेमा सङ्कलन गरिएको जानकारीलाई 'Skillsnew[.]शीर्ष' मा निकाल्छ। जानकारी ह्याकरहरूलाई लक्ष्य थप शोषणको लागि योग्य छ कि छैन भनेर निर्धारण गर्न मद्दत गर्ने उद्देश्यले हो।

मालवेयर उपकरणहरूको निरन्तर विकास

DoNot APT ले धेरै अवसरहरूमा पुनरावृत्ति र सुधारमा निरन्तर ध्यान केन्द्रित गरेको देखाएको छ। समूह द्वारा नियोजित विभिन्न लोडर संस्करणहरूमा प्रयासहरू सजिलै देख्न सकिन्छ। अघिल्लो संस्करणहरूमा, 2018 को मध्य अघि, सबै प्रयोग गरिएका स्ट्रिङहरू क्लियर टेक्स्टमा भण्डार गरिएको थियो, जबकि त्यसपछिका संस्करणहरूमा, विभिन्न स्तरको इन्क्रिप्सनहरू प्रस्तुत गर्न थालिएको थियो:

• मे 2018 - Base64 सँग इन्कोड गरिएको
• अप्रिल २०१९ - डबल बेस६४ एन्कोडिङ
• जनवरी 2019 - CBS मोडमा AES एल्गोरिदमको साथ इन्क्रिप्शन पछि Base64 एन्कोडिङ।
• जुन 2019 - बाइटहरूको सेट एर्रेसँग प्रतीक-द्वारा-प्रतीक वृत्ताकार घटाउ, UTF-8 को साथ इन्कोड, र Base64 एन्कोडिङ पछि।
• अक्टोबर 2019 - बाइटहरूको सेट एरेसँग प्रतीक-द्वारा-प्रतीक सर्कुलर परिमार्जन गरिएको XOR, त्यसपछि डबल बेस64 एन्कोडिङ

DoNot APT द्वारा संचालित पछिल्लो अवलोकन अपरेसनमा, समूहले Firestarter Trojan नामक नयाँ एन्ड्रोइड मालवेयर लोडर तैनात गर्यो। मालवेयर धम्की Google को सहायक कम्पनी द्वारा प्रदान गरिएको Firebase Cloud Messaging (FCM) नामक वैध सेवाको दुरुपयोग गर्न डिजाइन गरिएको थियो। सेवाले एन्ड्रोइड, आईओएस र अन्य वेब अनुप्रयोगहरूको लागि सन्देशहरू र सूचनाहरूको लागि क्रस-प्लेटफर्म क्लाउड समाधान प्रतिनिधित्व गर्दछ।

फायरस्टार्टर लोडरले FCM लाई यसको C2 सर्भरहरूसँग सञ्चार विधिको रूपमा प्रयोग गर्‍यो। प्रभावकारी सेवाको प्रयोगले असामान्य ट्राफिक पत्ता लगाउन धेरै गाह्रो बनाउँछ, किनकि यो अन्य सामान्य सञ्चारहरू उत्पन्न भइरहेको छ।