Licenties voor meerdere apparaten (volumekortingen)
Threat Database Advanced Persistent Threat (APT) DoNot APT

DoNot APT

Tegen GoldSparrow in Advanced Persistent Threat (APT)
Vertalen naar:
Nederlands

DoNot, in de infosec-gemeenschap ook bekend als APT-C-35 en SectorE02, is een Advanced Persistent Threat (APT)-groep van hackers waarvan de activiteiten enkele jaren teruggaan tot 2012. In die periode is de groep uitgebreid zijn activiteiten omvatten een breed scala aan doelen verspreid over verschillende continenten - Bangladesh, Thailand, Sri Lanka, de Filippijnen, Argentinië, de Verenigde Arabische Emiraten en Groot-Brittannië. Vanaf het begin is hun belangrijkste focus bleef op de regio Zuid-Azië en Pakistan, India, en de Kashmir crisis, meer in het bijzonder.

De hoofdspecialisatie van de groep is het plegen van cyberspionage en datadiefstal. De DoNot APT gebruikt een dreigend arsenaal dat bestaat uit zijn eigen creaties van malwaretools. Bij de meeste campagnes is een complexe koppelingsketen betrokken waarbij meerdere laders betrokken zijn en die meerdere fasen doorloopt voordat de uiteindelijke malwarelading wordt afgeleverd. De DoNot-hackers hebben ook blijk gegeven van het vermogen om hun malwaretools te innoveren en te verbeteren, ze voortdurend uit te rusten met nieuwe functionaliteiten of te profiteren van meer geavanceerde technieken.

Bij de meeste van hun aanvallen gebruiken de DoNot APT-hackers Command-and-Control (C2, C&C) servers die gehuurd zijn van DigitalOcean, LLC (ASN 14061) en gevestigd zijn in Amsterdam. Voor elke nieuwe domeinnaam wordt een nieuw toegewezen host gereserveerd.

Complexe aanvalsketen met aangepaste malware

Hoewel niet overtuigend, is er voldoende indirect bewijs dat de eerste compromisvector van de groep de verspreiding is van phishing-e-mails met MS Word-documenten in Office Open XML-formaat. Het oorspronkelijke document is niet bedreigend, maar het maakt misbruik van de autoloading-functionaliteit van externe elementen om de volgende fase van de aanvalsketen te starten.

Tijdens het proces worden verschillende laders op het gecompromitteerde systeem gedropt, elk met een ander doel. In een specifieke campagne fungeerde de Serviceflow.exe-trojan bijvoorbeeld als een waakhond die de volgende informatie verzamelde en opsloeg: gebruikers- en computernaam, besturingssysteemversie, processordetails, \Program Files en \Program Files (86)\ inhoudsdetails. Het is ook verantwoordelijk voor het downloaden en implementeren van de A64.dll- en sinter.exe-bestanden. Sinter is een ander Trojaans paard, maar de functionaliteit is aanzienlijk anders. Het informeert de dreigingsactoren over de huidige infectie door een verzoek naar een specifieke URL te sturen, terwijl het ook de verzamelde informatie over het gecompromitteerde systeem naar 'skillsnew[.]top' exfiltreert. De informatie is bedoeld om de hackers te helpen bepalen of het doelwit verdere exploitatie waard is.

Constante ontwikkeling van malwaretools

De DoNot APT heeft bij talloze gelegenheden zijn voortdurende focus op iteratie en verbetering aangetoond. De inspanningen zijn gemakkelijk te zien in verschillende loader-versies die door de groep worden gebruikt. In de eerdere versies, vóór medio 2018, werden alle gebruikte strings in leesbare tekst opgeslagen, terwijl in de volgende versies begonnen was met het invoeren van verschillende niveaus van encryptie:

  • Mei 2018 - gecodeerd met Base64
  • April 2019 - dubbele Base64-codering
  • Januari 2019 - encryptie met het AES-algoritme in CBS-modus gevolgd door Base64-codering.
  • Juni 2019 - symbool-voor-symbool cirkelvormige aftrekking met de ingestelde reeks bytes, coderen met UTF-8 en gevolgd door Base64-codering
  • Oktober 2019 - symbool-voor-symbool circulaire gemodificeerde XOR met de ingestelde array van bytes, gevolgd door dubbele Base64-codering

In de laatste waargenomen operatie uitgevoerd door de DoNot APT, heeft de groep een nieuwe Android-malwareloader geïmplementeerd met de naam Firestarter Trojan. De malwarebedreiging is ontworpen om misbruik te maken van een legitieme service genaamd Firebase Cloud Messaging (FCM), geleverd door een dochteronderneming van Google. De service vertegenwoordigt een platformonafhankelijke cloudoplossing voor berichten en meldingen voor Android, iOS en andere webapplicaties.

De Firestarter-lader gebruikte FCM als communicatiemethode met zijn C2-servers. Het gebruik van een effectieve service maakt de detectie van het abnormale verkeer veel moeilijker, omdat het wordt gemengd met de andere normale communicatie die wordt gegenereerd.

Trending

Meest bekeken

Bezig met laden...