Oprogramowanie złośliwe LoptikMod
Pojawiła się nowa kampania przypisywana grupie DoNot APT, prezentująca wykorzystanie ukrytego i uporczywego szczepu złośliwego oprogramowania o nazwie LoptikMod. Narzędzie to zostało wykorzystane w ukierunkowanym ataku na europejskie ministerstwo spraw zagranicznych, co dodatkowo wskazuje na zmianę zainteresowań grupy poza Azję Południową.
Spis treści
Znany aktor stanowiący zagrożenie o rosnącym zasięgu
Kampania jest powiązana z DoNot Team, wyrafinowaną grupą APT (Advanced Persistent Threat), znaną pod różnymi pseudonimami, takimi jak APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 i Viceroy Tiger. Grupa, której działania sięgają co najmniej 2016 roku, ma udokumentowaną historię ataków na agencje rządowe, ministerstwa spraw zagranicznych, podmioty obronne i organizacje pozarządowe, szczególnie w Azji Południowej i Europie.
Historycznie rzecz biorąc, ataki DoNot APT opierały się na tworzeniu niestandardowego złośliwego oprogramowania, zwłaszcza YTY i GEdit, często wdrażanego za pośrednictwem kampanii spear-phishingowych i załączników ze złośliwymi dokumentami.
Wabienie celu: phishing jako punkt wejścia
Atak rozpoczyna się od oszukańczego e-maila phishingowego, który ma sprawiać wrażenie autentycznego i wiarygodnego. Wiadomości te, wysyłane z konta Gmail, podszywają się pod przedstawicieli obrony i zawierają w temacie nawiązanie do wizyty włoskiego attaché obrony w Dhace w Bangladeszu. Co istotne, e-maile są sformatowane w formacie HTML z kodowaniem UTF-8, co pozwala na poprawne wyświetlanie znaków specjalnych, takich jak „é”, co zwiększa ich autentyczność.
Link do Dysku Google osadzony w wiadomości e-mail prowadzi do pobrania archiwum RAR. Archiwum zawiera złośliwy plik wykonywalny imitujący plik PDF. Po otwarciu plik wykonywalny inicjuje instalację LoptikMod, trojana zdalnego dostępu (RAT), który jest obecny wyłącznie w DoNot APT od co najmniej 2018 roku.
Wewnątrz złośliwego oprogramowania LoptikMod
Po uruchomieniu LoptikMod osadza się w systemie hosta, wykorzystując zaplanowane zadania do zapewnienia trwałości. Następnie łączy się ze zdalnym serwerem poleceń i kontroli (C2), aby wykonywać różne złośliwe działania. Należą do nich:
- Wysyłanie informacji o systemie z powrotem do atakujących
- Odbieranie i wykonywanie dodatkowych poleceń
- Pobieranie dodatkowych złośliwych modułów
- Wykradanie poufnych danych
Aby uniknąć wykrycia i utrudnić analizę kryminalistyczną, LoptikMod wykorzystuje techniki anty-VM (maszyn wirtualnych) oraz zaciemnianie kodu ASCII, co utrudnia analitykom bezpieczeństwa analizę jego pełnej funkcjonalności. Dodatkowo, LoptikMod zapewnia, że na urządzeniu działa tylko jedna instancja w danym momencie, zapobiegając konfliktom wewnętrznym i zmniejszając prawdopodobieństwo wykrycia.
Aktualny stan kampanii i infrastruktura
Chociaż sam LoptikMod jest wydajny i trwały, serwer C2, który był zaangażowany w ostatni atak, jest obecnie nieaktywny. Ta nieaktywność może oznaczać, że infrastruktura została tymczasowo wyłączona, trwale wyłączona lub zastąpiona nowym, niewykrytym serwerem.
Status nieaktywnego serwera ogranicza możliwość analizowania przez badaczy dokładnych poleceń i danych wymienianych między zainfekowanymi punktami końcowymi a atakującymi.
Oznaki strategicznej zmiany: europejskie cele w centrum uwagi
Najnowsza aktywność DoNot APT wykazuje oznaki ewolucji. Choć grupa tradycyjnie koncentrowała się na interesach Azji Południowej, ta niedawna operacja świadczy o rosnącym zainteresowaniu europejskim wywiadem dyplomatycznym, szczególnie w odniesieniu do Azji Południowej.
Ta zmiana prawdopodobnie wskazuje na zwiększone możliwości operacyjne i ambitniejsze cele wywiadowcze. Osoby odpowiedzialne za tę grupę mogą poszukiwać informacji na temat zachodnich strategii dyplomatycznych, polityki obronnej i zaangażowania międzynarodowego w Azji Południowej.
Najważniejsze wnioski
Aby skutecznie zapobiegać takim atakom, organizacje powinny zacząć od przeszkolenia swoich pracowników w zakresie rozpoznawania prób phishingu, nawet jeśli wiadomości wydają się wysoce wiarygodne. Równie ważne jest ciągłe monitorowanie systemów pod kątem wszelkich nietypowych zachowań, takich jak nieoczekiwane zaplanowane zadania lub połączenia wychodzące z nieznanymi serwerami, które mogą wskazywać na zagrożenie.
Ponadto wdrożenie sandboxingu i narzędzi do analizy behawioralnej może pomóc w wykrywaniu i neutralizowaniu podejrzanych plików wykonywalnych, zanim wyrządzą szkody. Utrzymywanie systemów w pełni zaktualizowanych i aktualizowanych na bieżąco źródeł informacji o zagrożeniach gwarantuje szybkie reagowanie na znane luki w zabezpieczeniach. Wreszcie, segmentacja sieci może znacznie zmniejszyć ryzyko bocznego rozprzestrzeniania się złośliwego oprogramowania, skuteczniej ograniczając potencjalne naruszenia.
Wniosek: Czujność jest niezbędna
Wdrożenie LoptikMod przez grupę DoNot APT w europejskiej kampanii cybernetycznego szpiegostwa jest dobitnym dowodem na ewolucję krajobrazu zagrożeń. W miarę jak grupy APT stale udoskonalają swoje narzędzia i rozszerzają zakres ataków, szczególnie w kierunku cennych zasobów dyplomatycznych, organizacje muszą zachować czujność i proaktywność w zakresie cyberbezpieczeństwa.
