Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware LoptikMod Malware

LoptikMod Malware

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një fushatë e re që i atribuohet grupit DoNot APT është shfaqur, duke shfaqur përdorimin e një lloji të fshehtë dhe të vazhdueshëm të malware-it të quajtur LoptikMod. Ky mjet është përdorur në një sulm të synuar kundër një ministrie të punëve të jashtme evropiane, duke treguar më tej zhvendosjen e fokusit të grupit përtej Azisë Jugore.

Një aktor kërcënimi i njohur me shtrirje në zgjerim

Fushata është lidhur me Ekipin DoNot, një grup i sofistikuar i Kërcënimeve të Avancuara të Përhershme (APT) i njohur me pseudonime të ndryshme, duke përfshirë APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 dhe Viceroy Tiger. Me operacione që datojnë të paktën që nga viti 2016, grupi ka një histori të dokumentuar të synimit të agjencive qeveritare, ministrive të jashtme, entiteteve të mbrojtjes dhe OJQ-ve, veçanërisht në Azinë Jugore dhe Evropë.

Historikisht, DoNot APT ka përdorur programe keqdashëse të krijuara me porosi, veçanërisht YTY dhe GEdit, të cilat shpesh janë vendosur përmes fushatave spear-phishing dhe bashkëngjitjeve të dokumenteve dashakeqe.

Joshja e Shënjestrës: Phishing si Pikë Hyrjeje

Sulmi fillon me një email mashtrues phishing të hartuar për t'u dukur i ligjshëm dhe i besueshëm. Këto mesazhe, të dërguara nga një llogari Gmail, imitojnë zyrtarët e mbrojtjes dhe përmbajnë rreshta subjektesh që i referohen një vizite të një Atasheu Italian të Mbrojtjes në Daka, Bangladesh. Veçanërisht, emailet janë formatuar duke përdorur HTML me kodim UTF-8 për të paraqitur saktë karakteret speciale si 'é', duke shtuar autenticitetin e tyre.

Një lidhje e Google Drive e integruar në email çon në shkarkimin e një arkivi RAR. Ky arkiv përmban një skedar ekzekutues keqdashës të projektuar për të imituar një skedar PDF. Kur hapet, skedari ekzekutues fillon vendosjen e LoptikMod, një trojan me akses në distancë (RAT) që ka qenë ekskluziv për DoNot APT që të paktën nga viti 2018.

Brenda programit keqdashës LoptikMod

Pasi ekzekutohet, LoptikMod integrohet në sistemin pritës duke përdorur detyra të planifikuara për qëndrueshmëri. Pastaj lidhet me një server komande dhe kontrolli në distancë (C2) për të kryer aktivitete të ndryshme keqdashëse. Këto përfshijnë:

  • Dërgimi i informacionit të sistemit përsëri te sulmuesit
  • Marrja dhe ekzekutimi i komandave shtesë
  • Shkarkimi i moduleve shtesë keqdashëse
  • Nxjerrja e të dhënave të ndjeshme

Për të shmangur zbulimin dhe për të penguar analizën mjeko-ligjore, LoptikMod përdor teknika anti-VM (makinë virtuale) dhe errësim ASCII, duke e bërë të vështirë për studiuesit e sigurisë të analizojnë funksionalitetin e tij të plotë. Përveç kësaj, ai siguron që vetëm një instancë të funksionojë në një pajisje në çdo kohë, duke parandaluar konfliktet e brendshme dhe duke zvogëluar gjasat e zbulimit.

Statusi dhe Infrastruktura Aktuale e Fushatës

Ndërsa vetë LoptikMod është i aftë dhe i vazhdueshëm, serveri C2 i përfshirë në sulmin më të fundit është aktualisht joaktiv. Ky inaktivitet mund të nënkuptojë që infrastruktura është nxjerrë përkohësisht jashtë linje, është mbyllur përgjithmonë ose është zëvendësuar nga një server i ri, i pazbuluar.

Statusi joaktiv i serverit kufizon aftësinë e studiuesve për të analizuar komandat dhe të dhënat e sakta të shkëmbyera midis pikave fundore të infektuara dhe sulmuesve.

Shenja të ndryshimit strategjik: Objektivat evropiane në fokus

Aktiviteti i fundit i DoNot APT tregon shenja evolucioni. Ndërsa grupi tradicionalisht është përqendruar në interesat e Azisë Jugore, ky operacion i fundit tregon një interes në rritje për inteligjencën diplomatike evropiane, veçanërisht në lidhje me Azinë Jugore.

Ky ndryshim ka të ngjarë të tregojë aftësi të zgjeruara operacionale dhe objektiva më ambicioze të inteligjencës. Drejtuesit e grupit mund të kërkojnë njohuri mbi strategjitë diplomatike perëndimore, politikat e mbrojtjes dhe angazhimet ndërkombëtare me Azinë Jugore.

Përmbledhjet kryesore

Për të zbutur në mënyrë efektive sulme të tilla, organizatat duhet të fillojnë duke edukuar stafin e tyre për të njohur përpjekjet e phishing-ut, edhe kur mesazhet duken shumë të ligjshme. Është po aq e rëndësishme të monitorohen vazhdimisht sistemet për çdo sjellje të pazakontë, siç janë detyrat e planifikuara të papritura ose lidhjet dalëse me servera të panjohur, të cilat mund të tregojnë kompromentim.

Për më tepër, zbatimi i mjeteve të sandbox-it dhe analizës së sjelljes mund të ndihmojë në zbulimin dhe neutralizimin e ekzekutuesve të dyshimtë përpara se ato të shkaktojnë dëm. Mbajtja e sistemeve plotësisht të patch-uara dhe përfshirja e burimeve më të fundit të inteligjencës së kërcënimeve siguron që dobësitë e njohura të adresohen menjëherë. Së fundmi, segmentimi i rrjetit mund të zvogëlojë ndjeshëm rrezikun e përhapjes anësore të programeve keqdashëse, duke i kufizuar kështu shkeljet e mundshme në mënyrë më efektive.

Përfundim: Vigjilenca është thelbësore

Vendosja e LoptikMod nga grupi DoNot APT në një fushatë evropiane të spiunazhit kibernetik është një kujtesë e fortë e peizazhit të kërcënimeve në zhvillim. Ndërsa grupet APT vazhdojnë të përmirësojnë mjetet e tyre dhe të zgjerojnë synimin e tyre, veçanërisht drejt aseteve diplomatike me vlerë të lartë, organizatat duhet të mbeten vigjilente dhe proaktive në mbrojtjen e tyre të sigurisë kibernetike.

Në trend

Më e shikuara

Po ngarkohet...