Не делать APT

DoNot, также известная в сообществе информационной безопасности как APT-C-35 и SectorE02, представляет собой группу хакеров Advanced Persistent Threat (APT), деятельность которой можно проследить на несколько лет назад вплоть до 2012 года. За этот период группа расширилась. его операции включают широкий круг целей, охватывающих несколько континентов - Бангладеш, Таиланд, Шри-Ланку, Филиппины, Аргентину, Объединенные Арабские Эмираты и Великобританию. С самого начала, их основное внимание остается на регионе Южной Азии и Пакистана, Индии, и кризис в Кашмире, более конкретно.

Основная специализация группы — кибершпионаж и кража данных. DoNot APT использует угрожающий арсенал, состоящий из собственных вредоносных инструментов. Большинство кампаний включают в себя сложную цепочку подключений, включающую несколько загрузчиков и проходящую через несколько этапов перед доставкой окончательной полезной нагрузки вредоносного ПО. Хакеры DoNot также продемонстрировали способность вводить новшества и улучшать свои вредоносные инструменты, постоянно оснащая их новыми функциями или используя более сложные методы.

В большинстве своих атак хакеры DoNot APT используют серверы Command-and-Control (C2, C&C), арендованные у DigitalOcean, LLC (ASN 14061) и расположенные в Амстердаме. Для каждого нового доменного имени резервируется новый выделенный хост.

Комплексная цепочка атак с использованием заказного вредоносного ПО

Хотя это и не является окончательным, существует достаточно косвенных доказательств того, что первоначальным вектором компрометации группы является распространение фишинговых электронных писем, содержащих документы MS Word в формате Office Open XML. Исходный документ не представляет угрозы, но он злоупотребляет функцией автозагрузки внешних элементов, чтобы инициировать следующий этап цепочки атак.

Во время процесса на скомпрометированную систему сбрасываются несколько загрузчиков, каждый из которых выполняет свою задачу. Например, в конкретной кампании троянец Serviceflow.exe выступал в роли сторожевого таймера, собирая и сохраняя следующую информацию — имя пользователя и компьютера, версию ОС, сведения о процессоре, сведения о содержимом \Program Files и \Program Files (86)\. Он также отвечает за загрузку и развертывание файлов A64.dll и sinter.exe. Sinter — еще один троянец, но его функциональность существенно отличается. Он информирует злоумышленников о текущем заражении, отправляя запрос на определенный URL-адрес, а также отправляет информацию, собранную о скомпрометированной системе, в «skillsnew[.]top». Информация предназначена для того, чтобы помочь хакерам определить, достойна ли цель дальнейшего использования.

Постоянное развитие вредоносных инструментов

DoNot APT неоднократно демонстрировал свое постоянное внимание к итерациям и улучшениям. Усилия можно легко увидеть в различных версиях погрузчиков, используемых группой. В более ранних версиях, до середины 2018 года, все используемые строки хранились в открытом виде, а в последующих версиях начали внедряться различные уровни шифрования:

• Май 2018 г. — закодировано с помощью Base64.
• Апрель 2019 г. — двойное кодирование Base64
• Январь 2019 — шифрование алгоритмом AES в режиме CBS с последующим кодированием Base64.
• Июнь 2019 г. - посимвольное циклическое вычитание с заданным массивом байтов, кодирование в UTF-8 с последующим кодированием в Base64.
• Октябрь 2019 г. - посимвольное циклическое модифицированное XOR с заданным массивом байтов с последующим двойным кодированием Base64

В последней наблюдаемой операции, проведенной DoNot APT, группа развернула новый загрузчик вредоносного ПО для Android под названием Firestarter Trojan . Угроза вредоносного ПО была разработана для злоупотребления законным сервисом Firebase Cloud Messaging (FCM), предоставляемым дочерней компанией Google. Сервис представляет собой кроссплатформенное облачное решение для сообщений и уведомлений для Android, iOS и других веб-приложений.

Загрузчик Firestarter использовал FCM как метод связи со своими серверами C2. Использование эффективного сервиса значительно усложняет обнаружение аномального трафика, поскольку он смешивается с другими генерируемыми нормальными сообщениями.