Вредоносное ПО LoptikMod
Всплыла новая кампания, приписываемая APT-группе DoNot, демонстрирующая использование скрытого и стойкого вредоносного ПО LoptikMod. Этот инструмент был использован для целенаправленной атаки на министерство иностранных дел Европы, что ещё раз свидетельствует о смещении фокуса группировки за пределы Южной Азии.
Оглавление
Известный источник угроз с расширяющимся охватом
Кампания связана с DoNot Team, сложной группировкой, создающей угрозы повышенной стойкости (APT), известной под различными псевдонимами, включая APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 и Viceroy Tiger. Операции группировки ведутся как минимум с 2016 года, и она имеет документально подтвержденную историю атак на государственные учреждения, министерства иностранных дел, оборонные организации и неправительственные организации, особенно в Южной Азии и Европе.
Традиционно DoNot APT использует специально разработанное вредоносное ПО, в частности YTY и GEdit, которое часто внедряется посредством фишинговых кампаний и вредоносных вложений документов.
Заманивание цели: фишинг как точка входа
Атака начинается с обманного фишингового письма, выдаваемого за подлинное и заслуживающее доверия. Эти письма, отправленные с учётной записи Gmail, выдают себя за сотрудников министерства обороны, а в теме письма упоминается визит итальянского военного атташе в Дакку, Бангладеш. Примечательно, что письма отформатированы с использованием HTML с кодировкой UTF-8 для корректной обработки специальных символов, таких как «é», что добавляет им достоверности.
Ссылка на Google Диск, встроенная в письмо, ведёт на загрузку RAR-архива. Этот архив содержит вредоносный исполняемый файл, имитирующий PDF-файл. При открытии исполняемый файл инициирует установку LoptikMod, трояна удалённого доступа (RAT), используемого эксклюзивно в DoNot APT как минимум с 2018 года.
Внутри вредоносного ПО LoptikMod
После запуска LoptikMod внедряется в хост-систему, используя запланированные задачи для обеспечения своей безопасности. Затем он подключается к удалённому командному серверу (C2) для выполнения различных вредоносных действий. К ним относятся:
- Отправка системной информации обратно злоумышленникам
- Получение и выполнение дополнительных команд
- Загрузка дополнительных вредоносных модулей
- Извлечение конфиденциальных данных
Чтобы избежать обнаружения и затруднить криминалистический анализ, LoptikMod использует методы защиты от виртуальных машин (VM) и обфускацию ASCII, что затрудняет исследователям безопасности анализ его полной функциональности. Кроме того, LoptikMod гарантирует, что на устройстве одновременно работает только один экземпляр, предотвращая внутренние конфликты и снижая вероятность обнаружения.
Текущий статус и инфраструктура кампании
Хотя сам LoptikMod эффективен и устойчив, сервер командного управления, задействованный в последней атаке, в настоящее время неактивен. Это может означать, что инфраструктура временно отключена, полностью отключена или заменена новым, необнаруженным сервером.
Неактивный статус сервера ограничивает возможности исследователей анализировать точные команды и данные, которыми обмениваются зараженные конечные точки и злоумышленники.
Признаки стратегического сдвига: в центре внимания — европейские цели
Последняя активность DoNot APT демонстрирует признаки эволюции. Хотя группировка традиционно сосредоточивалась на интересах Южной Азии, эта недавняя операция демонстрирует растущий интерес к европейской дипломатической разведке, особенно связанной с Южной Азией.
Этот сдвиг, вероятно, свидетельствует о возросших оперативных возможностях и более амбициозных разведывательных целях. Руководители группы, возможно, стремятся получить информацию о дипломатических стратегиях Запада, его оборонной политике и международных отношениях с Южной Азией.
Ключевые выводы
Для эффективного противодействия подобным атакам организациям следует начать с обучения сотрудников распознавать попытки фишинга, даже если сообщения кажутся вполне легитимными. Не менее важно постоянно отслеживать необычное поведение систем, например, запуск непредвиденных запланированных задач или исходящие соединения с незнакомыми серверами, которые могут указывать на взлом.
Кроме того, внедрение инструментов «песочницы» и поведенческого анализа может помочь обнаружить и нейтрализовать подозрительные исполняемые файлы до того, как они нанесут вред. Поддержание систем в актуальном состоянии и использование актуальных данных об угрозах гарантирует оперативное устранение известных уязвимостей. Наконец, сегментация сети может значительно снизить риск горизонтального распространения вредоносного ПО, тем самым более эффективно сдерживая потенциальные нарушения.
Вывод: бдительность необходима
Использование группировкой DoNot APT-атак LoptikMod в ходе европейской кампании кибершпионажа служит ярким напоминанием о меняющемся ландшафте угроз. Поскольку APT-группы продолжают совершенствовать свои инструменты и расширять свою целевую аудиторию, особенно в сторону ценных дипломатических активов, организациям необходимо сохранять бдительность и принимать проактивные меры по защите своей кибербезопасности.
