Nu APT

DoNot, cunoscut și în comunitatea infosec ca APT-C-35 și SectorE02, este un grup de hackeri APT (Advanced Persistent Threat) ale căror activități pot fi urmărite cu câțiva ani în urmă până în 2012. În acea perioadă, grupul s-a extins. operațiunile sale să includă o gamă largă de ținte care se întind pe mai multe continente - Bangladesh, Thailanda, Sri Lanka, Filipine, Argentina, Emiratele Arabe Unite și Marea Britanie. Chiar de la început, accentul lor principal a rămas pe regiunea Asiei de Sud și pe Pakistan, India și criza din Kashmir , mai precis.

Principala specializare a grupului este de a efectua spionaj cibernetic și furt de date. DoNot APT folosește un arsenal amenințător compus din propriile creații de instrumente malware. Cele mai multe campanii implică un lanț de atașare complex care implică mai multe încărcătoare și parcurge mai multe etape înainte de livrarea sarcinii finale de malware. Hackerii DoNot au demonstrat, de asemenea, capacitatea de a inova și de a-și îmbunătăți instrumentele malware, echipându-le în mod constant cu noi funcționalități sau profitând de tehnici mai sofisticate.

În majoritatea atacurilor sale, hackerii DoNot APT folosesc servere Command-and-Control (C2, C&C) închiriate de la DigitalOcean, LLC (ASN 14061) și situate în Amsterdam. Pentru fiecare nume de domeniu nou, o gazdă nou alocată este rezervată.

Încălcare complexă de atacuri care implică programe malware personalizate

Deși nu sunt concludente, există suficiente dovezi circumstanțiale că vectorul inițial de compromis al grupului este diseminarea e-mailurilor de phishing care poartă documente MS Word în format Office Open XML. Documentul inițial nu este amenințător, dar abuzează de funcționalitatea de autoîncărcare a elementelor externe pentru a iniția următoarea etapă a lanțului de atac.

Mai multe încărcătoare sunt aruncate pe sistemul compromis în timpul procesului, fiecare însărcinat cu un obiectiv diferit. De exemplu, într-o anumită campanie, troianul Serviceflow.exe a acționat ca un supraveghetor care colectează și stochează următoarele informații - numele utilizatorului și computerului, versiunea sistemului de operare, detaliile procesorului, detaliile conținutului \Program Files și \Program Files (86)\ . De asemenea, este responsabil pentru descărcarea și implementarea fișierelor A64.dll și sinter.exe. Sinter este un alt troian, dar funcționalitatea sa este diferită semnificativ. Acesta informează actorii amenințărilor despre infecția actuală, trimițând o solicitare la o anumită adresă URL, în timp ce exfiltrează informațiile colectate despre sistemul compromis în „skillsnew[.]top”. Informațiile sunt menite să ajute hackerii să determine dacă ținta este demnă de exploatare în continuare.

Dezvoltarea constantă a instrumentelor malware

DoNot APT și-a demonstrat în numeroase ocazii concentrarea continuă pe iterare și îmbunătățire. Eforturile pot fi observate cu ușurință în diferite versiuni de încărcător angajate de grup. În versiunile anterioare, înainte de jumătatea anului 2018, toate șirurile utilizate au fost stocate în text clar, în timp ce în versiunile ulterioare, au început să fie introduse diferite niveluri de criptare:

• Mai 2018 - codificat cu Base64
• Aprilie 2019 - codificare dublă Base64
• Ianuarie 2019 - criptare cu algoritmul AES în modul CBS urmată de codificare Base64.
• Iunie 2019 - scădere circulară simbol cu simbol cu matricea setată de octeți, codificare cu UTF-8 și urmată de codificare Base64
• Octombrie 2019 - XOR circular modificat simbol cu simbol cu matricea setată de octeți, urmată de codificare dublă Base64

În cea mai recentă operațiune observată efectuată de DoNot APT, grupul a implementat un nou încărcător de malware Android numit Firestarter Trojan . Amenințarea malware a fost concepută pentru a abuza de un serviciu legitim numit Firebase Cloud Messaging (FCM), furnizat de o subsidiară a Google. Serviciul reprezintă o soluție cloud multiplatformă pentru mesaje și notificări pentru Android, iOS și alte aplicații Web.

Încărcătorul Firestarter a exploatat FCM ca metodă de comunicare cu serverele sale C2. Utilizarea unui serviciu eficient face ca detectarea traficului anormal să fie mult mai dificilă, deoarece este combinată cu celelalte comunicații normale generate.