APT ਨਾ ਕਰੋ

DoNot, infosec ਕਮਿਊਨਿਟੀ ਵਿੱਚ APT-C-35 ਅਤੇ SectorE02 ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਹੈਕਰਾਂ ਦਾ ਇੱਕ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ (APT) ਸਮੂਹ ਹੈ ਜਿਸ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਕਈ ਸਾਲ ਪਹਿਲਾਂ 2012 ਤੱਕ ਲੱਭਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਉਸ ਸਮੇਂ ਦੌਰਾਨ, ਸਮੂਹ ਦਾ ਵਿਸਥਾਰ ਹੋਇਆ ਹੈ। ਕਈ ਮਹਾਂਦੀਪਾਂ - ਬੰਗਲਾਦੇਸ਼, ਥਾਈਲੈਂਡ, ਸ਼੍ਰੀਲੰਕਾ, ਫਿਲੀਪੀਨਜ਼, ਅਰਜਨਟੀਨਾ, ਸੰਯੁਕਤ ਅਰਬ ਅਮੀਰਾਤ ਅਤੇ ਗ੍ਰੇਟ ਬ੍ਰਿਟੇਨ ਵਿੱਚ ਫੈਲੇ ਟੀਚਿਆਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਇਸਦੇ ਸੰਚਾਲਨ। ਸ਼ੁਰੂ ਤੋਂ ਹੀ, ਉਨ੍ਹਾਂ ਦਾ ਮੁੱਖ ਫੋਕਸ ਦੱਖਣੀ ਏਸ਼ੀਆ ਖੇਤਰ ਅਤੇ ਪਾਕਿਸਤਾਨ, ਭਾਰਤ ਅਤੇ ਕਸ਼ਮੀਰ ਸੰਕਟ 'ਤੇ ਰਿਹਾ ਹੈ , ਖਾਸ ਤੌਰ 'ਤੇ।

ਗਰੁੱਪ ਦੀ ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾ ਸਾਈਬਰ ਜਾਸੂਸੀ ਅਤੇ ਡਾਟਾ ਚੋਰੀ ਕਰਨਾ ਹੈ। DoNot APT ਇੱਕ ਧਮਕੀ ਭਰੇ ਹਥਿਆਰ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਇਸਦੇ ਆਪਣੇ ਮਾਲਵੇਅਰ ਟੂਲ ਰਚਨਾਵਾਂ ਸ਼ਾਮਲ ਹਨ। ਜ਼ਿਆਦਾਤਰ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਇੱਕ ਗੁੰਝਲਦਾਰ ਅਟੈਚ ਚੇਨ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਜਿਸ ਵਿੱਚ ਕਈ ਲੋਡਰ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ ਅਤੇ ਅੰਤਿਮ ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਦੀ ਡਿਲੀਵਰੀ ਤੋਂ ਪਹਿਲਾਂ ਕਈ ਪੜਾਵਾਂ ਵਿੱਚੋਂ ਲੰਘਦੇ ਹਨ। DoNot ਹੈਕਰਾਂ ਨੇ ਆਪਣੇ ਮਾਲਵੇਅਰ ਟੂਲਜ਼ ਨੂੰ ਨਵੀਨਤਾ ਅਤੇ ਸੁਧਾਰ ਕਰਨ ਦੀ ਯੋਗਤਾ ਵੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤੀ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਲਗਾਤਾਰ ਨਵੀਆਂ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਨਾਲ ਲੈਸ ਕਰਦੇ ਹੋਏ ਜਾਂ ਵਧੇਰੇ ਆਧੁਨਿਕ ਤਕਨੀਕਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹੋਏ।

ਇਸਦੇ ਜ਼ਿਆਦਾਤਰ ਹਮਲਿਆਂ ਵਿੱਚ, DoNot APT ਹੈਕਰ ਡਿਜ਼ੀਟਲ ਓਸ਼ਨ, LLC (ASN 14061) ਤੋਂ ਕਿਰਾਏ 'ਤੇ ਲਏ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ ਅਤੇ ਐਮਸਟਰਡਮ ਵਿੱਚ ਸਥਿਤ ਹਨ। ਹਰੇਕ ਨਵੇਂ ਡੋਮੇਨ ਨਾਮ ਲਈ, ਇੱਕ ਨਵਾਂ ਨਿਰਧਾਰਤ ਹੋਸਟ ਰਾਖਵਾਂ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ।

ਕਸਟਮ ਮਾਲਵੇਅਰ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲਾ ਗੁੰਝਲਦਾਰ ਹਮਲਾ

ਨਿਰਣਾਇਕ ਨਾ ਹੋਣ ਦੇ ਬਾਵਜੂਦ, ਇਸ ਗੱਲ ਦੇ ਕਾਫੀ ਹਾਲਾਤੀ ਸਬੂਤ ਹਨ ਕਿ ਗਰੁੱਪ ਦਾ ਸ਼ੁਰੂਆਤੀ ਸਮਝੌਤਾ ਵੈਕਟਰ ਆਫਿਸ ਓਪਨ XML ਫਾਰਮੈਟ ਵਿੱਚ MS ਵਰਡ ਦਸਤਾਵੇਜ਼ਾਂ ਨੂੰ ਲੈ ਕੇ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦਾ ਪ੍ਰਸਾਰ ਹੈ। ਸ਼ੁਰੂਆਤੀ ਦਸਤਾਵੇਜ਼ ਖ਼ਤਰਾ ਨਹੀਂ ਹੈ, ਪਰ ਇਹ ਹਮਲੇ ਦੀ ਲੜੀ ਦੇ ਅਗਲੇ ਪੜਾਅ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਬਾਹਰੀ ਤੱਤਾਂ ਦੀ ਆਟੋਲੋਡਿੰਗ ਕਾਰਜਕੁਸ਼ਲਤਾ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦਾ ਹੈ।

ਪ੍ਰਕਿਰਿਆ ਦੇ ਦੌਰਾਨ ਕਈ ਲੋਡਰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਸੁੱਟੇ ਜਾਂਦੇ ਹਨ, ਹਰੇਕ ਨੂੰ ਵੱਖਰੇ ਉਦੇਸ਼ ਨਾਲ ਕੰਮ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਖਾਸ ਮੁਹਿੰਮ ਵਿੱਚ, Serviceflow.exe ਟਰੋਜਨ ਨੇ ਨਿਮਨਲਿਖਤ ਜਾਣਕਾਰੀ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਸਟੋਰ ਕਰਨ ਲਈ ਇੱਕ ਨਿਗਰਾਨੀ ਵਜੋਂ ਕੰਮ ਕੀਤਾ - ਉਪਭੋਗਤਾ ਅਤੇ ਕੰਪਿਊਟਰ ਦਾ ਨਾਮ, OS ਸੰਸਕਰਣ, ਪ੍ਰੋਸੈਸਰ ਵੇਰਵੇ, \Program Files ਅਤੇ \Program Files (86)\ ਸਮੱਗਰੀ ਵੇਰਵੇ। ਇਹ A64.dll ਅਤੇ sinter.exe ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਲਾਗੂ ਕਰਨ ਲਈ ਵੀ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ਸਿੰਟਰ ਇਕ ਹੋਰ ਟਰੋਜਨ ਹੈ, ਪਰ ਇਸਦੀ ਕਾਰਜਸ਼ੀਲਤਾ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਵੱਖਰੀ ਹੈ। ਇਹ ਕਿਸੇ ਖਾਸ URL ਨੂੰ ਬੇਨਤੀ ਭੇਜ ਕੇ ਮੌਜੂਦਾ ਸੰਕਰਮਣ ਬਾਰੇ ਖਤਰੇ ਵਾਲੇ ਐਕਟਰਾਂ ਨੂੰ ਸੂਚਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਨਾਲ ਹੀ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਬਾਰੇ ਇਕੱਠੀ ਕੀਤੀ ਗਈ ਜਾਣਕਾਰੀ ਨੂੰ 'ਹੁਨਰਮੰਦ[.]ਟੌਪ' ਤੱਕ ਪਹੁੰਚਾਉਂਦਾ ਹੈ। ਜਾਣਕਾਰੀ ਦਾ ਉਦੇਸ਼ ਹੈਕਰਾਂ ਨੂੰ ਇਹ ਨਿਰਧਾਰਤ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਨਾ ਹੈ ਕਿ ਕੀ ਟੀਚਾ ਹੋਰ ਸ਼ੋਸ਼ਣ ਦੇ ਯੋਗ ਹੈ ਜਾਂ ਨਹੀਂ।

ਮਾਲਵੇਅਰ ਟੂਲਸ ਦਾ ਨਿਰੰਤਰ ਵਿਕਾਸ

DoNot APT ਨੇ ਕਈ ਮੌਕਿਆਂ 'ਤੇ ਦੁਹਰਾਓ ਅਤੇ ਸੁਧਾਰ 'ਤੇ ਆਪਣਾ ਲਗਾਤਾਰ ਫੋਕਸ ਦਿਖਾਇਆ ਹੈ। ਸਮੂਹ ਦੁਆਰਾ ਲਗਾਏ ਗਏ ਵੱਖ-ਵੱਖ ਲੋਡਰ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਆਸਾਨੀ ਨਾਲ ਦੇਖਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਪੁਰਾਣੇ ਸੰਸਕਰਣਾਂ ਵਿੱਚ, 2018 ਦੇ ਅੱਧ ਤੋਂ ਪਹਿਲਾਂ, ਸਾਰੀਆਂ ਵਰਤੀਆਂ ਗਈਆਂ ਸਤਰਾਂ ਨੂੰ ਕਲੀਅਰ ਟੈਕਸਟ ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਦੋਂ ਕਿ ਬਾਅਦ ਦੇ ਸੰਸਕਰਣਾਂ ਵਿੱਚ, ਵੱਖ-ਵੱਖ ਪੱਧਰਾਂ ਦੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਪੇਸ਼ ਕੀਤੇ ਜਾਣੇ ਸ਼ੁਰੂ ਹੋ ਗਏ ਸਨ:

• ਮਈ 2018 - ਬੇਸ 64 ਨਾਲ ਏਨਕੋਡ ਕੀਤਾ ਗਿਆ
• ਅਪ੍ਰੈਲ 2019 - ਡਬਲ ਬੇਸ64 ਏਨਕੋਡਿੰਗ
• ਜਨਵਰੀ 2019 - CBS ਮੋਡ ਵਿੱਚ AES ਐਲਗੋਰਿਦਮ ਦੇ ਨਾਲ ਏਨਕ੍ਰਿਪਸ਼ਨ ਅਤੇ ਬਾਅਦ ਵਿੱਚ ਬੇਸ64 ਏਨਕੋਡਿੰਗ।
• ਜੂਨ 2019 - ਬਾਈਟਾਂ ਦੇ ਸੈੱਟ ਐਰੇ ਦੇ ਨਾਲ ਪ੍ਰਤੀਕ-ਦਰ-ਪ੍ਰਤੀਕ ਸਰਕੂਲਰ ਘਟਾਓ, UTF-8 ਨਾਲ ਏਨਕੋਡ, ਅਤੇ ਬੇਸ64 ਏਨਕੋਡਿੰਗ ਤੋਂ ਬਾਅਦ
• ਅਕਤੂਬਰ 2019 - ਬਾਈਟਾਂ ਦੇ ਸੈੱਟ ਐਰੇ ਦੇ ਨਾਲ ਪ੍ਰਤੀਕ-ਦਰ-ਪ੍ਰਤੀਕ ਸਰਕੂਲਰ ਸੋਧਿਆ ਗਿਆ XOR, ਜਿਸ ਤੋਂ ਬਾਅਦ ਡਬਲ ਬੇਸ64 ਏਨਕੋਡਿੰਗ

DoNot APT ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਨਵੀਨਤਮ ਨਿਰੀਖਣ ਕੀਤੇ ਓਪਰੇਸ਼ਨ ਵਿੱਚ, ਸਮੂਹ ਨੇ ਫਾਇਰਸਟਾਰਟਰ ਟਰੋਜਨ ਨਾਮਕ ਇੱਕ ਨਵਾਂ ਐਂਡਰਾਇਡ ਮਾਲਵੇਅਰ ਲੋਡਰ ਤੈਨਾਤ ਕੀਤਾ। ਮਾਲਵੇਅਰ ਧਮਕੀ ਨੂੰ Google ਦੀ ਇੱਕ ਸਹਾਇਕ ਕੰਪਨੀ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੀ ਫਾਇਰਬੇਸ ਕਲਾਉਡ ਮੈਸੇਜਿੰਗ (FCM) ਨਾਮਕ ਇੱਕ ਜਾਇਜ਼ ਸੇਵਾ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਸੇਵਾ ਐਂਡਰੌਇਡ, iOS ਅਤੇ ਹੋਰ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਸੁਨੇਹਿਆਂ ਅਤੇ ਸੂਚਨਾਵਾਂ ਲਈ ਇੱਕ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਕਲਾਉਡ ਹੱਲ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਫਾਇਰਸਟਾਰਟਰ ਲੋਡਰ ਨੇ ਆਪਣੇ C2 ਸਰਵਰਾਂ ਨਾਲ ਇੱਕ ਸੰਚਾਰ ਵਿਧੀ ਵਜੋਂ FCM ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ। ਇੱਕ ਪ੍ਰਭਾਵੀ ਸੇਵਾ ਦੀ ਵਰਤੋਂ ਅਸਧਾਰਨ ਟ੍ਰੈਫਿਕ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਬਹੁਤ ਮੁਸ਼ਕਲ ਬਣਾ ਦਿੰਦੀ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਉਤਪੰਨ ਕੀਤੇ ਜਾ ਰਹੇ ਹੋਰ ਆਮ ਸੰਚਾਰਾਂ ਨਾਲ ਮਿਲਾਇਆ ਜਾਂਦਾ ਹੈ।