Programe malware LoptikMod
O nouă campanie atribuită grupului DoNot APT a apărut, prezentând utilizarea unei tulpini de malware ascunse și persistente numite LoptikMod. Acest instrument a fost utilizat într-un atac direcționat împotriva unui minister european de externe, indicând în continuare schimbarea concentrării grupului dincolo de Asia de Sud.
Cuprins
Un actor amenințător cunoscut cu o acoperire în expansiune
Campania a fost asociată cu DoNot Team, un grup sofisticat de tip Advanced Persistent Threat (APT), cunoscut sub diverse aliasuri, inclusiv APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 și Viceroy Tiger. Cu operațiuni care datează cel puțin din 2016, grupul are un istoric documentat de vizare a agențiilor guvernamentale, ministerelor de externe, entităților de apărare și ONG-urilor, în special în Asia de Sud și Europa.
Din punct de vedere istoric, DoNot APT a folosit programe malware personalizate, în special YTY și GEdit, adesea implementate prin campanii de spear-phishing și atașamente de documente rău intenționate.
Atragerea țintei: phishing-ul ca punct de intrare
Atacul începe cu un e-mail de phishing înșelător, conceput pentru a părea legitim și de încredere. Aceste mesaje, trimise dintr-un cont Gmail, se dau drept oficiali ai apărării și conțin subiecte care fac referire la o vizită a unui atașat italian al apărării la Dhaka, Bangladesh. În special, e-mailurile sunt formatate folosind HTML cu codificare UTF-8 pentru a reda corect caractere speciale precum „é”, ceea ce le sporește autenticitatea.
Un link Google Drive încorporat în e-mail duce la descărcarea unei arhive RAR. Această arhivă conține un executabil malițios conceput pentru a imita un fișier PDF. Când este deschis, executabilul inițiază implementarea LoptikMod, un troian de acces la distanță (RAT) care este exclusiv pentru DoNot APT din cel puțin 2018.
În interiorul malware-ului LoptikMod
Odată executat, LoptikMod se integrează în sistemul gazdă folosind sarcini programate pentru persistență. Apoi se conectează la un server de comandă și control (C2) la distanță pentru a efectua diverse activități rău intenționate. Acestea includ:
- Trimiterea informațiilor de sistem înapoi către atacatori
- Primirea și executarea comenzilor suplimentare
- Descărcarea modulelor suplimentare rău intenționate
- Exfiltrarea datelor sensibile
Pentru a evita detectarea și a împiedica analiza criminalistică, LoptikMod folosește tehnici anti-VM (mașină virtuală) și ofuscare ASCII, ceea ce face dificilă analiza completă a funcționalității sale de către cercetătorii în domeniul securității. În plus, se asigură că o singură instanță rulează pe un dispozitiv în orice moment, prevenind conflictele interne și reducând probabilitatea de detectare.
Starea actuală a campaniei și infrastructura
Deși LoptikMod în sine este capabil și persistent, serverul C2 implicat în cel mai recent atac este în prezent inactiv. Această inactivitate ar putea însemna că infrastructura a fost scoasă temporar offline, închisă definitiv sau înlocuită de un server nou, nedescoperit.
Starea inactivă a serverului limitează capacitatea cercetătorilor de a analiza comenzile și datele exacte schimbate între endpoint-urile infectate și atacatori.
Semne ale schimbării strategice: Obiectivele europene în centrul atenției
Cea mai recentă activitate a DoNot APT dă semne de evoluție. Deși grupul s-a concentrat în mod tradițional pe interesele din Asia de Sud, această operațiune recentă demonstrează un interes tot mai mare pentru informațiile diplomatice europene, în special cele legate de Asia de Sud.
Această schimbare indică probabil capacități operaționale sporite și obiective de informații mai ambițioase. Responsabilii grupării ar putea căuta informații despre strategiile diplomatice occidentale, politicile de apărare și angajamentele internaționale cu Asia de Sud.
Concluzii cheie
Pentru a atenua eficient astfel de atacuri, organizațiile ar trebui să înceapă prin a-și educa personalul pentru a recunoaște tentativele de phishing, chiar și atunci când mesajele par extrem de legitime. Este la fel de important să se monitorizeze continuu sistemele pentru orice comportament neobișnuit, cum ar fi sarcini programate neașteptate sau conexiuni de ieșire către servere necunoscute, care pot indica o compromitere a securității datelor.
În plus, implementarea instrumentelor de tip sandboxing și analiză comportamentală poate ajuta la detectarea și neutralizarea fișierelor executabile suspecte înainte ca acestea să provoace daune. Menținerea sistemelor complet actualizate și încorporarea celor mai recente fluxuri de informații despre amenințări asigură că vulnerabilitățile cunoscute sunt abordate prompt. În cele din urmă, segmentarea rețelei poate reduce semnificativ riscul de răspândire laterală a programelor malware, limitând astfel mai eficient potențialele breșe.
Concluzie: Vigilența este esențială
Implementarea LoptikMod de către grupul DoNot APT într-o campanie de spionaj cibernetic europeană este o amintire puternică a peisajului amenințărilor în continuă evoluție. Pe măsură ce grupurile APT continuă să își îmbunătățească instrumentele și să își extindă ținta, în special către active diplomatice de mare valoare, organizațiile trebuie să rămână vigilente și proactive în apărarea lor în domeniul securității cibernetice.
