LoptikMod Malware
Objavila sa nová kampaň pripisovaná skupine DoNot APT, ktorá predstavuje použitie nenápadného a pretrvávajúceho malvéru s názvom LoptikMod. Tento nástroj bol použitý pri cielenom útoku na európske ministerstvo zahraničných vecí, čo ďalej naznačuje, že sa skupina zameriava mimo južnej Ázie.
Obsah
Známy aktér hrozby s rozširujúcim sa dosahom
Kampaň bola spájaná s tímom DoNot, sofistikovanou skupinou Advanced Persistent Threat (APT), známou pod rôznymi prezývkami vrátane APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 a Viceroy Tiger. Skupina, ktorej operácie siahajú minimálne do roku 2016, má zdokumentovanú históriu útokov na vládne agentúry, ministerstvá zahraničných vecí, obranné subjekty a mimovládne organizácie, najmä v južnej Ázii a Európe.
Historicky, DoNot APT používal malvér vytvorený na mieru, najmä YTY a GEdit, často nasadzovaný prostredníctvom phishingových kampaní a škodlivých príloh dokumentov.
Lákanie cieľa: Phishing ako vstupný bod
Útok začína klamlivým phishingovým e-mailom, ktorý je vytvorený tak, aby vyzeral legitímne a dôveryhodne. Tieto správy, odoslané z účtu Gmail, sa vydávajú za predstaviteľov obrany a obsahujú predmety odkazujúce na návštevu talianskeho obranného pridelenca v Dháke v Bangladéši. Je pozoruhodné, že e-maily sú formátované pomocou HTML s kódovaním UTF-8, aby sa špeciálne znaky ako „é“ zobrazovali správne, čo zvyšuje ich autenticitu.
Odkaz na Disk Google vložený v e-maile vedie na stiahnutie archívu RAR. Tento archív obsahuje škodlivý spustiteľný súbor navrhnutý tak, aby napodobňoval súbor PDF. Po otvorení spustiteľný súbor spustí nasadenie LoptikMod, trójskeho koňa pre vzdialený prístup (RAT), ktorý je exkluzívny pre DoNot APT minimálne od roku 2018.
Vnútri malvéru LoptikMod
Po spustení sa LoptikMod vloží do hostiteľského systému pomocou naplánovaných úloh pre zachovanie trvalosti. Následne sa pripojí k vzdialenému serveru velenia a riadenia (C2) a vykonáva rôzne škodlivé aktivity. Patria sem:
- Odosielanie systémových informácií späť útočníkom
- Prijímanie a vykonávanie ďalších príkazov
- Sťahovanie ďalších škodlivých modulov
- Únik citlivých údajov
Aby sa predišlo odhaleniu a sťažila sa forenzná analýza, LoptikMod používa techniky anti-VM (virtuálne počítače) a ASCII obfuscation, čo bezpečnostným výskumníkom sťažuje analýzu jeho plnej funkčnosti. Okrem toho zabezpečuje, že na zariadení beží vždy iba jedna inštancia, čím sa predchádza vnútorným konfliktom a znižuje sa pravdepodobnosť odhalenia.
Aktuálny stav kampane a infraštruktúra
Hoci samotný LoptikMod je schopný a odolný, server C2 zapojený do najnovšieho útoku je momentálne neaktívny. Táto nečinnosť môže znamenať, že infraštruktúra bola dočasne odpojená od siete, natrvalo vypnutá alebo nahradená novým, neobjaveným serverom.
Neaktívny stav servera obmedzuje schopnosť výskumníkov analyzovať presné príkazy a dáta vymieňané medzi infikovanými koncovými bodmi a útočníkmi.
Známky strategického posunu: Európske ciele v centre pozornosti
Najnovšia aktivita skupiny DoNot APT vykazuje známky evolúcie. Zatiaľ čo sa skupina tradične zameriavala na záujmy južnej Ázie, táto nedávna operácia demonštruje rastúci záujem o európske diplomatické spravodajské informácie, najmä tie, ktoré sa týkajú južnej Ázie.
Táto zmena pravdepodobne naznačuje posilnené operačné schopnosti a ambicióznejšie spravodajské ciele. Manažéri skupiny sa môžu snažiť získať prehľad o západných diplomatických stratégiách, obranných politikách a medzinárodných vzťahoch s južnou Áziou.
Kľúčové poznatky
Aby organizácie účinne zmiernili takéto útoky, mali by začať tým, že budú vzdelávať svojich zamestnancov, aby rozpoznali pokusy o phishing, a to aj v prípade, že správy sa zdajú byť vysoko legitímne. Rovnako dôležité je neustále monitorovať systémy, či sa v nich nevyskytuje nezvyčajné správanie, ako sú neočakávané naplánované úlohy alebo odchádzajúce pripojenia k neznámym serverom, čo môže naznačovať kompromitáciu.
Okrem toho implementácia nástrojov na sandboxing a behaviorálnu analýzu môže pomôcť odhaliť a neutralizovať podozrivé spustiteľné súbory skôr, ako spôsobia škodu. Udržiavanie systémov v plnom rozsahu záplat a začlenenie najnovších informačných kanálov o hrozbách zabezpečuje, že známe zraniteľnosti sa promptne riešia. Nakoniec, segmentácia siete môže výrazne znížiť riziko šírenia škodlivého softvéru laterálne, a tým efektívnejšie obmedziť potenciálne narušenia.
Záver: Bdelosť je nevyhnutná
Nasadenie LoptikMod skupinou DoNot APT v európskej kybernetickej špionážnej kampani je jasnou pripomienkou vyvíjajúcej sa situácie v oblasti hrozieb. Keďže skupiny APT naďalej vylepšujú svoje nástroje a rozširujú svoje zacielenie, najmä na vysokocenné diplomatické aktíva, organizácie musia zostať ostražité a proaktívne vo svojej kybernetickej obrane.
