Ne APT
DoNot, znan tudi v skupnosti infosec kot APT-C-35 in SectorE02, je skupina hekerjev za napredno obstojno grožnjo (APT), katere dejavnosti je mogoče zaslediti nekaj let nazaj vse do leta 2012. V tem obdobju se je skupina razširila njene operacije, ki vključujejo širok spekter ciljev na več celinah - Bangladeš, Tajsko, Šrilanko, Filipine, Argentino, Združene arabske emirate in Veliko Britanijo. Že od samega začetka, je njihov glavni poudarek ostal na območju južne Azije in Pakistanu, Indiji, in Kašmir krize, natančneje.
Glavna specializacija skupine je izvajanje kibervohunjenja in kraje podatkov. DoNot APT uporablja nevaren arzenal, sestavljen iz lastnih orodij za zlonamerno programsko opremo. Večina kampanj vključuje zapleteno verigo pripenjanja, ki vključuje več nakladalcev in gre skozi več stopenj pred dostavo končnega koristnega tovora zlonamerne programske opreme. Hekerji DoNot so pokazali tudi sposobnost inovacij in izboljšanja svojih orodij za zlonamerno programsko opremo, ki jih nenehno opremljajo z novimi funkcionalnostmi ali izkoriščajo bolj izpopolnjene tehnike.
Pri večini svojih napadov hekerji DoNot APT uporabljajo strežnike za upravljanje in nadzor (C2, C&C), najete pri DigitalOcean, LLC (ASN 14061) in se nahajajo v Amsterdamu. Za vsako novo ime domene se rezervira na novo dodeljeni gostitelj.
Kompleksno preganjanje napadov, ki vključujejo zlonamerno programsko opremo po meri
Čeprav to ni prepričljivo, obstaja dovolj posrednih dokazov, da je začetni kompromisni vektor skupine širjenje e-poštnih sporočil z lažnim predstavljanjem, ki vsebujejo dokumente MS Word v formatu Office Open XML. Začetni dokument ni nevaren, vendar zlorablja funkcijo samodejnega nalaganja zunanjih elementov, da sproži naslednjo stopnjo napadalne verige.
Med procesom se na ogroženi sistem spusti več nakladalcev, od katerih ima vsak drug cilj. Na primer, v določeni kampanji je trojanec Serviceflow.exe deloval kot nadzornik, ki je zbiral in shranjeval naslednje podatke – ime uporabnika in računalnika, različico operacijskega sistema, podrobnosti procesorja, podrobnosti o \Program Files in \Program Files (86)\ . Odgovoren je tudi za prenos in uvajanje datotek A64.dll in sinter.exe. Sinter je še en trojanec, vendar je njegova funkcionalnost bistveno drugačna. Nosilce grožnje obvesti o trenutni okužbi tako, da pošlje zahtevo na določen URL, hkrati pa prestreže zbrane informacije o ogroženem sistemu na 'skillsnew[.]top.' Namen informacij je pomagati hekerjem pri ugotavljanju, ali je cilj vreden nadaljnjega izkoriščanja.
Nenehni razvoj orodij za zlonamerno programsko opremo
DoNot APT je ob številnih priložnostih pokazal svojo nenehno osredotočenost na ponavljanje in izboljšave. Prizadevanja je mogoče zlahka videti v različnih različicah nakladalnikov, ki jih uporablja skupina. V prejšnjih različicah so bili pred sredino leta 2018 vsi uporabljeni nizi shranjeni v jasnem besedilu, medtem ko so v naslednjih različicah začeli uvajati različne stopnje šifriranja:
- Maj 2018 - kodirano z Base64
- April 2019 - dvojno kodiranje Base64
- Januar 2019 - šifriranje z algoritmom AES v načinu CBS, ki mu sledi kodiranje Base64.
- Junij 2019 - krožno odštevanje simbol za simbolom z nastavljenim nizom bajtov, kodiranje z UTF-8 in sledi kodiranje Base64
- Oktober 2019 - krožno spremenjen XOR po simbolu z nastavljenim nizom bajtov, ki mu sledi dvojno kodiranje Base64
V zadnji opaženi operaciji, ki jo je izvedel DoNot APT, je skupina uvedla nov nalagalnik zlonamerne programske opreme za Android z imenom Firestarter Trojan . Grožnja z zlonamerno programsko opremo je bila zasnovana za zlorabo zakonite storitve, imenovane Firebase Cloud Messaging (FCM), ki jo zagotavlja Googlova podružnica. Storitev predstavlja večplatformsko rešitev v oblaku za sporočila in obvestila za Android, iOS in druge spletne aplikacije.
Firestarter loader je izkoristil FCM kot komunikacijsko metodo s svojimi strežniki C2. Uporaba učinkovite storitve močno oteži odkrivanje nenormalnega prometa, saj se meša z drugimi običajnimi komunikacijami, ki se ustvarjajo.
