DoNot APT

DoNot, znany również w społeczności infosec jako APT-C-35 i SectorE02, to grupa hakerów Advanced Persistent Threat (APT), której działalność można prześledzić kilka lat wstecz, aż do 2012 roku. jej działalność obejmuje szeroki zakres celów na kilku kontynentach - Bangladesz, Tajlandię, Sri Lankę, Filipiny, Argentynę, Zjednoczone Emiraty Arabskie i Wielką Brytanię. Od samego początku, ich głównym celem pozostaje w regionie Azji Południowej i Pakistanie, Indiach i kryzysu Kaszmirze, dokładniej.

Główną specjalizacją grupy jest prowadzenie cyberszpiegostwa i kradzieży danych. DoNot APT używa groźnego arsenału składającego się z własnych kreacji złośliwego oprogramowania. Większość kampanii obejmuje złożony łańcuch załączników, który obejmuje kilka programów ładujących i przechodzi przez wiele etapów przed dostarczeniem ostatecznego ładunku złośliwego oprogramowania. Hakerzy DoNot wykazali się również umiejętnością wprowadzania innowacji i ulepszania swoich narzędzi do złośliwego oprogramowania, stale wyposażając je w nowe funkcje lub wykorzystując bardziej wyrafinowane techniki.

W większości swoich ataków hakerzy DoNot APT wykorzystują serwery Command-and-Control (C2, C&C) wynajmowane od DigitalOcean, LLC (ASN 14061) i zlokalizowane w Amsterdamie. Dla każdej nowej nazwy domeny rezerwowany jest nowo przydzielony host.

Złożone łańcuchy ataków obejmujące niestandardowe złośliwe oprogramowanie

Chociaż nie jest to rozstrzygające, istnieją wystarczające dowody na to, że początkowym wektorem kompromitacji grupy jest rozpowszechnianie wiadomości phishingowych zawierających dokumenty MS Word w formacie Office Open XML. Początkowy dokument nie stanowi zagrożenia, ale wykorzystuje funkcję automatycznego ładowania elementów zewnętrznych, aby zainicjować kolejny etap łańcucha ataków.

Podczas tego procesu na zagrożony system zostaje wrzuconych kilka ładowaczy, z których każdy ma inny cel. Na przykład w określonej kampanii trojan Serviceflow.exe działał jako strażnik zbierający i przechowujący następujące informacje - nazwę użytkownika i komputera, wersję systemu operacyjnego, szczegóły dotyczące procesora, \Program Files i \Program Files (86)\ szczegóły zawartości. Jest również odpowiedzialny za pobieranie i wdrażanie plików A64.dll i sinter.exe. Sinter to kolejny trojan, ale jego funkcjonalność znacznie się różni. Informuje cyberprzestępców o aktualnej infekcji, wysyłając żądanie pod określony adres URL, jednocześnie eksfiltrując zebrane informacje o zaatakowanym systemie do „skillsnew[.]top". Informacje mają pomóc hakerom określić, czy cel jest wart dalszej eksploatacji.

Ciągły rozwój narzędzi złośliwego oprogramowania

DoNot APT wielokrotnie wykazywał nieustanną koncentrację na iteracji i doskonaleniu. Wysiłki można łatwo zobaczyć w różnych wersjach ładowaczy stosowanych przez grupę. We wcześniejszych wersjach, do połowy 2018 roku, wszystkie używane ciągi były przechowywane w postaci zwykłego tekstu, natomiast w kolejnych wersjach zaczęto wprowadzać różne poziomy szyfrowania:

• Maj 2018 - zakodowany w Base64
• Kwiecień 2019 - podwójne kodowanie Base64
• Styczeń 2019 - szyfrowanie algorytmem AES w trybie CBS, a następnie kodowanie Base64.
• Czerwiec 2019 - odejmowanie kołowe symbol po symbolu z ustawioną tablicą bajtów, kodowanie UTF-8, a następnie kodowanie Base64
• Październik 2019 - symbol po symbolu modyfikowany kołowo XOR z ustawioną tablicą bajtów, po którym następuje podwójne kodowanie Base64

W ostatniej zaobserwowanej operacji przeprowadzonej przez DoNot APT grupa wdrożyła nowy program ładujący złośliwe oprogramowanie dla systemu Android o nazwie trojan Firestarter. Zagrożenie złośliwym oprogramowaniem miało na celu nadużycie legalnej usługi o nazwie Firebase Cloud Messaging (FCM), dostarczanej przez spółkę zależną Google. Usługa reprezentuje wieloplatformowe rozwiązanie chmurowe dla wiadomości i powiadomień dla Androida, iOS i innych aplikacji internetowych.

Program ładujący Firestarter wykorzystywał FCM jako metodę komunikacji z serwerami C2. Korzystanie z efektywnej usługi znacznie utrudnia wykrycie nienormalnego ruchu, ponieważ jest on mieszany z inną generowaną normalną komunikacją.