DoNot APT

O DoNot, também conhecido na comunidade infosec como APT-C-35 e SectorE02, é um grupo de uma hackers de Ameaça Persistente Avançada (APT) cujas atividades podem ser rastreadas vários anos antes de 2012. Durante esse período, o grupo expandiu suas operações as quais incluem uma ampla gama de alvos em vários continentes - Bangladesh, Tailândia, Sri Lanka, Filipinas, Argentina, Emirados Árabes Unidos e Grã-Bretanha. Desde o início, seu foco principal permaneceu na região do Sul da Ásia e no Paquistão, Índia e na crise da Caxemira , mais especificamente.

A principal especialização do grupo é a ciberespionagem e o roubo de dados. O DoNot APT usa um arsenal de ameaças composto por suas próprias criações de ferramentas de malware. A maioria das campanhas envolve uma cadeia de anexos complexa que envolve vários carregadores e passa por vários estágios antes da entrega da carga final de malware. Os hackers do DoNot também têm demonstrado a capacidade de inovar e melhorar suas ferramentas de malware, equipando-os constantemente com novas funcionalidades ou tirando proveito de técnicas mais sofisticadas.

Na maioria de seus ataques, os hackers do DoNot APT usam servidores de Comando-e-Controle (C2, C&C) alugados da DigitalOcean, LLC (ASN 14061) e localizados em Amsterdã. Para cada novo nome de domínio, um host recém-alocado está sendo reservado.

Encadeamento de Ataque Complexo Envolvendo Malware Personalizado

Embora não seja conclusivo, há evidências circunstanciais suficientes de que o vetor de comprometimento inicial do grupo é a disseminação de e-mails de phishing contendo documentos do MS Word no formato Office Open XML. O documento inicial não é ameaçador, mas abusa da funcionalidade de carregamento automático de elementos externos para iniciar o próximo estágio da cadeia de ataque.

Vários carregadores são colocados no sistema comprometido durante o processo, cada um com um objetivo diferente. Por exemplo, em uma campanha específica, o Trojan Serviceflow.exe agiu como um cão de guarda coletando e armazenando as seguintes informações - nome do usuário e do computador, versão do sistema operacional, detalhes do processador, \Arquivos de programas e\Arquivos de programas (86)\detalhes do conteúdo. Ele também é responsável por baixar e implantar os arquivos A64.dll e sinter.exe. O Sinter é outro Trojan, mas sua funcionalidade é significativamente diferente. Ele informa os agentes da ameaça sobre a infecção atual, enviando uma solicitação para um URL específico, ao mesmo tempo que exfiltrando as informações coletadas sobre o sistema comprometido para 'skillsnew [.] Top.' As informações têm como objetivo ajudar os hackers a determinar se o alvo merece uma exploração posterior.

Desenvolvimento Constante de Ferramentas de Malware

O DoNot APT demonstrou em várias ocasiões seu foco contínuo em iteração e melhoria. Os esforços podem ser facilmente vistos em diferentes versões de carregadores empregados pelo grupo. Nas versões anteriores, antes de meados de 2018, todas as strings usadas eram armazenadas em texto não criptografado, enquanto nas versões subsequentes, vários níveis de criptografia começaram a ser introduzidos:

• Maio de 2018 - codificado com Base64
• Abril de 2019 - codificação Base64 dupla
• Janeiro de 2019 - criptografia com o algoritmo AES no modo CBS seguida da codificação Base64.
• Junho de 2019 - subtração circular símbolo por símbolo com a matriz definida de bytes, codificar com UTF-8 e seguir por codificação Base64
• Outubro de 2019 - XOR modificado circular símbolo por símbolo com a matriz definida de bytes, seguido por codificação Base64 dupla

Na última operação observada conduzida pelo DoNot APT, o grupo implantou um novo carregador de malware do Android chamado Firestarter Trojan. A ameaça de malware foi projetada para abusar de um serviço legítimo chamado Firebase Cloud Messaging (FCM), fornecido por uma subsidiária do Google. O serviço representa uma solução na Nuvem de plataforma cruzada para mensagens e notificações para Android, iOS e outros aplicativos da Web.

O carregador Firestarter explorou o FCM como um método de comunicação com seus servidores C2. A utilização de um serviço eficaz torna a detecção do tráfego anormal muito mais difícil, uma vez que se mistura com as outras comunicações normais geradas.