Nerobte APT

DoNot, tiež známy v komunite infosec ako APT-C-35 a SectorE02, je skupina hackerov s pokročilou trvalou hrozbou (APT), ktorej aktivity možno vysledovať niekoľko rokov dozadu až do roku 2012. Počas tohto obdobia sa skupina rozšírila jej operácie zahŕňajú širokú škálu cieľov na niekoľkých kontinentoch – Bangladéš, Thajsko, Srí Lanka, Filipíny, Argentína, Spojené arabské emiráty a Veľká Británia. Hneď od začiatku sa ich hlavný dôraz kládol na región južnej Ázie a Pakistan, Indiu a kašmírsku krízu , konkrétnejšie.

Hlavnou špecializáciou skupiny je vykonávanie kyberšpionáže a krádeže údajov. DoNot APT používa hrozivý arzenál pozostávajúci z vlastných výtvorov malvérových nástrojov. Väčšina kampaní zahŕňa zložitý reťazec pripájania, ktorý zahŕňa niekoľko zavádzačov a pred doručením konečného obsahu škodlivého softvéru prechádza viacerými fázami. Hackeri DoNot tiež preukázali schopnosť inovovať a vylepšovať svoje malvérové nástroje, neustále ich vybavovať novými funkciami alebo využívať sofistikovanejšie techniky.

Vo väčšine svojich útokov hackeri DoNot APT používajú servery Command-and-Control (C2, C&C) prenajaté od DigitalOcean, LLC (ASN 14061) so sídlom v Amsterdame. Pre každý nový názov domény sa rezervuje novopridelený hostiteľ.

Zložitá reťaz útokov zahŕňajúca vlastný malvér

Aj keď to nie je presvedčivé, existuje dostatok nepriamych dôkazov, že počiatočným kompromisným vektorom skupiny je šírenie phishingových e-mailov obsahujúcich dokumenty MS Word vo formáte Office Open XML. Počiatočný dokument nie je hrozivý, ale zneužíva funkciu automatického načítania externých prvkov na spustenie ďalšej fázy reťazca útokov.

Počas procesu na napadnutý systém spadne niekoľko nakladačov, pričom každý má za úlohu iný cieľ. Napríklad v špecifickej kampani fungoval trójsky kôň Serviceflow.exe ako strážny pes, ktorý zbieral a uchovával nasledujúce informácie – meno používateľa a počítača, verziu operačného systému, podrobnosti o procesore, \Program Files a \Program Files (86)\ podrobnosti o obsahu. Je tiež zodpovedný za sťahovanie a nasadenie súborov A64.dll a sinter.exe. Sinter je ďalší trójsky kôň, ale jeho funkčnosť je výrazne odlišná. Informuje aktérov hrozby o aktuálnej infekcii odoslaním požiadavky na konkrétnu adresu URL a zároveň vylúči zhromaždené informácie o napadnutom systéme na „novinky[.]top“. Tieto informácie majú hackerom pomôcť určiť, či je cieľ hodný ďalšieho využívania.

Neustály vývoj malvérových nástrojov

DoNot APT pri mnohých príležitostiach demonštroval svoje neustále zameranie na iteráciu a zlepšovanie. Úsilie možno ľahko vidieť na rôznych verziách nakladačov, ktoré skupina používa. V predchádzajúcich verziách, pred polovicou roku 2018, boli všetky použité reťazce uložené ako čistý text, zatiaľ čo v nasledujúcich verziách sa začali zavádzať rôzne úrovne šifrovania:

  • Máj 2018 - zakódované pomocou Base64
  • Apríl 2019 - dvojité kódovanie Base64
  • Január 2019 - šifrovanie pomocou algoritmu AES v režime CBS, po ktorom nasleduje kódovanie Base64.
  • Jún 2019 – kruhové odčítanie symbol po symbole s nastaveným poľom bajtov, kódovanie s UTF-8 a po ňom kódovanie Base64
  • Október 2019 – kruhovo modifikovaný XOR symbol po symbole s nastaveným poľom bajtov, po ktorom nasleduje dvojité kódovanie Base64

V poslednej pozorovanej operácii, ktorú vykonal DoNot APT, skupina nasadila nový zavádzač škodlivého softvéru pre Android s názvom Firestarter Trojan . Malvérová hrozba bola navrhnutá tak, aby zneužila legitímnu službu s názvom Firebase Cloud Messaging (FCM), ktorú poskytuje dcérska spoločnosť Google. Služba predstavuje multiplatformové cloudové riešenie pre správy a upozornenia pre Android, iOS a ďalšie webové aplikácie.

Zavádzač Firestarter využíval FCM ako komunikačnú metódu so svojimi servermi C2. Použitie efektívnej služby robí detekciu abnormálnej prevádzky oveľa ťažším, pretože je zmiešaná s inou normálnou generovanou komunikáciou.

Trendy

Najviac videné

Načítava...