Zlonamerna programska oprema LoptikMod
Pojavila se je nova kampanja, ki se pripisuje skupini DoNot APT in prikazuje uporabo prikritega in vztrajnega seva zlonamerne programske opreme z imenom LoptikMod. To orodje je bilo uporabljeno v ciljno usmerjenem napadu na evropsko ministrstvo za zunanje zadeve, kar dodatno kaže na preusmeritev fokusa skupine izven Južne Azije.
Kazalo
Znani akter grožnje z naraščajočim dosegom
Kampanja je bila povezana z ekipo DoNot, prefinjeno skupino za napredne vztrajne grožnje (APT), znano pod različnimi vzdevki, vključno z APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 in Viceroy Tiger. Skupina, ki deluje vsaj od leta 2016, ima dokumentirano zgodovino napadov na vladne agencije, zunanja ministrstva, obrambne subjekte in nevladne organizacije, zlasti v Južni Aziji in Evropi.
V preteklosti je DoNot APT uporabljal posebej izdelano zlonamerno programsko opremo, zlasti YTY in GEdit, ki se je pogosto uporabljala prek kampanj lažnega predstavljanja in zlonamernih prilog dokumentov.
Privabljanje tarče: Lažno predstavljanje kot vstopna točka
Napad se začne z zavajajočim phishing e-poštnim sporočilom, ki je oblikovano tako, da se zdi legitimno in zaupanja vredno. Ta sporočila, poslana iz Gmailovega računa, se izdajajo za obrambne uradnike in vsebujejo zadeve, ki se nanašajo na obisk italijanskega obrambnega atašeja v Daki v Bangladešu. Omeniti velja, da so e-poštna sporočila oblikovana v HTML s kodiranjem UTF-8 za pravilno upodobitev posebnih znakov, kot je 'é', kar povečuje njihovo pristnost.
Povezava do Google Drive, vdelana v e-poštno sporočilo, vodi do prenosa arhiva RAR. Ta arhiv vsebuje zlonamerno izvedljivo datoteko, zasnovano za posnemanje datoteke PDF. Ko jo odprete, izvedljiva datoteka sproži namestitev LoptikMod, trojanca za oddaljeni dostop (RAT), ki je od vsaj leta 2018 na voljo izključno za DoNot APT.
V notranjosti zlonamerne programske opreme LoptikMod
Ko se LoptikMod zažene, se v gostiteljski sistem vgradi z načrtovanimi opravili za ohranitev. Nato se poveže z oddaljenim strežnikom za upravljanje in nadzor (C2) in izvaja različne zlonamerne dejavnosti. Te vključujejo:
- Pošiljanje sistemskih informacij nazaj napadalcem
- Sprejemanje in izvajanje dodatnih ukazov
- Prenos dodatnih zlonamernih modulov
- Izbruh občutljivih podatkov
Da bi se izognili odkrivanju in ovirali forenzično analizo, LoptikMod uporablja tehnike zaščite pred virtualnimi stroji (VM) in zakrivanje ASCII, kar varnostnim raziskovalcem otežuje analizo celotne funkcionalnosti. Poleg tega zagotavlja, da se na napravi hkrati izvaja samo en primerek, kar preprečuje notranje konflikte in zmanjšuje verjetnost odkrivanja.
Trenutno stanje kampanje in infrastruktura
Čeprav je LoptikMod sam po sebi zmogljiv in vztrajen, je strežnik C2, ki je bil vpleten v najnovejši napad, trenutno neaktiven. Ta neaktivnost lahko pomeni, da je bila infrastruktura začasno izklopljena, trajno zaprta ali nadomeščena z novim, neodkritim strežnikom.
Neaktivno stanje strežnika omejuje raziskovalcem zmožnost analize natančnih ukazov in podatkov, ki si jih izmenjujejo okužene končne točke in napadalci.
Znaki strateškega premika: evropski cilji v središču pozornosti
Najnovejša dejavnost skupine DoNot APT kaže znake evolucije. Medtem ko se je skupina tradicionalno osredotočala na južnoazijske interese, ta nedavna operacija kaže na vse večje zanimanje za evropske diplomatske obveščevalne podatke, zlasti tiste v zvezi z Južno Azijo.
Ta premik verjetno kaže na okrepljene operativne zmogljivosti in ambicioznejše obveščevalne cilje. Vodje skupine morda iščejo vpogled v zahodne diplomatske strategije, obrambno politiko in mednarodne stike z Južno Azijo.
Ključne ugotovitve
Za učinkovito ublažitev takšnih napadov bi morale organizacije začeti z izobraževanjem svojih zaposlenih o prepoznavanju poskusov lažnega predstavljanja, tudi če se sporočila zdijo zelo legitimna. Prav tako je pomembno nenehno spremljati sisteme glede kakršnega koli nenavadnega vedenja, kot so nepričakovana načrtovana opravila ali odhodne povezave z neznanimi strežniki, kar lahko kaže na ogrožanje.
Poleg tega lahko uporaba orodij za peskovnik in vedenjsko analizo pomaga odkriti in nevtralizirati sumljive izvedljive datoteke, preden povzročijo škodo. Popolnoma posodobljeni sistemi in vključevanje najnovejših virov informacij o grožnjah zagotavljajo, da se znane ranljivosti pravočasno odpravijo. Nenazadnje lahko segmentacija omrežja znatno zmanjša tveganje za širjenje zlonamerne programske opreme vstran in s tem učinkoviteje omeji morebitne kršitve.
Zaključek: Budnost je bistvena
Uporaba LoptikModa s strani skupine DoNot APT v evropski kampanji kibernetskega vohunjenja je oster opomin na razvijajoče se grožnje. Medtem ko skupine APT še naprej izboljšujejo svoja orodja in širijo svoje ciljanje, zlasti na diplomatska sredstva visoke vrednosti, morajo organizacije ostati pozorne in proaktivne pri svoji kibernetski varnostni obrambi.
