Licenca për shumë pajisje (Zbritje në vëllim)
Threat Database Advanced Persistent Threat (APT) Mos APT

Mos APT

Nga GoldSparrowAdvanced Persistent Threat (APT)
Përkthe në:
Shqip

DoNot, i njohur gjithashtu në komunitetin infosec si APT-C-35 dhe SectorE02, është një grup hakerësh me kërcënime të vazhdueshme (APT) aktivitetet e të cilëve mund të gjurmohen disa vite mbrapa deri në vitin 2012. Gjatë asaj periudhe, grupi është zgjeruar operacionet e saj për të përfshirë një gamë të gjerë objektivash që përfshijnë disa kontinente - Bangladeshi, Tajlanda, Sri Lanka, Filipinet, Argjentina, Emiratet e Bashkuara Arabe dhe Britania e Madhe. Që në fillim, fokusi i tyre kryesor ka mbetur në rajonin e Azisë Jugore dhe Pakistanin, Indinë dhe krizën e Kashmirit , më konkretisht.

Specializimi kryesor i grupit është kryerja e spiunazhit kibernetik dhe vjedhja e të dhënave. DoNot APT përdor një arsenal kërcënues të përbërë nga krijimet e veta të veglave të malware. Shumica e fushatave përfshijnë një zinxhir kompleks bashkëngjitjeje që përfshin disa ngarkues dhe kalon nëpër faza të shumta përpara dorëzimit të ngarkesës përfundimtare të malware. Hakerët DoNot kanë shfaqur gjithashtu një aftësi për të inovuar dhe përmirësuar mjetet e tyre malware, duke i pajisur vazhdimisht me funksionalitete të reja ose duke përfituar nga teknika më të sofistikuara.

Në shumicën e sulmeve të tij, hakerët e DoNot APT përdorin serverë Command-and-Control (C2, C&C) të marrë me qira nga DigitalOcean, LLC (ASN 14061) dhe të vendosur në Amsterdam. Për çdo emër të ri domeni, po rezervohet një host i ri i alokuar.

Ndërhyrja komplekse e sulmeve që përfshin malware të personalizuar

Ndonëse nuk është përfundimtare, ka prova të mjaftueshme rrethanore që vektori fillestar i kompromisit të grupit është shpërndarja e emaileve të phishing që bartin dokumente MS Word në formatin Office Open XML. Dokumenti fillestar nuk është kërcënues, por ai abuzon me funksionalitetin e ngarkimit automatik të elementeve të jashtëm për të nisur fazën tjetër të zinxhirit të sulmit.

Disa ngarkues hidhen në sistemin e komprometuar gjatë procesit, secili i ngarkuar me një objektiv të ndryshëm. Për shembull, në një fushatë specifike, trojani Serviceflow.exe veproi si një mbikëqyrës që mbledh dhe ruan informacionin e mëposhtëm - emrin e përdoruesit dhe kompjuterit, versionin e OS, detajet e procesorit, \Program Files dhe \Program Files (86)\ detajet e përmbajtjes. Ai është gjithashtu përgjegjës për shkarkimin dhe vendosjen e skedarëve A64.dll dhe sinter.exe. Sinter është një tjetër Trojan, por funksionaliteti i tij është dukshëm i ndryshëm. Ai informon aktorët e kërcënimit në lidhje me infeksionin aktual duke dërguar një kërkesë në një URL specifike, ndërsa gjithashtu nxjerr informacionin e mbledhur në lidhje me sistemin e komprometuar në 'skillsnew[.]top.' Informacioni synon të ndihmojë hakerat të përcaktojnë nëse objektivi është i denjë për shfrytëzim të mëtejshëm.

Zhvillimi i vazhdueshëm i mjeteve të malware

DoNot APT ka demonstruar në shumë raste fokusin e tij të vazhdueshëm në përsëritjen dhe përmirësimin. Përpjekjet mund të shihen lehtësisht në versione të ndryshme të ngarkuesit të përdorura nga grupi. Në versionet e mëparshme, para mesit të vitit 2018, të gjitha vargjet e përdorura ruheshin në tekst të qartë, ndërsa në versionet pasuese, kishte filluar të prezantohej nivele të ndryshme të kriptimit:

  • Maj 2018 - i koduar me Base64
  • Prill 2019 - kodim i dyfishtë Base64
  • Janar 2019 - kriptim me algoritmin AES në modalitetin CBS i ndjekur nga kodimi Base64.
  • Qershor 2019 - zbritje rrethore simbol për simbol me grupin e grupit të bajteve, kodoni me UTF-8 dhe pasuar nga kodimi Base64
  • Tetor 2019 - XOR rrethor i modifikuar simbol për simbol me grupin e caktuar të bajteve, i ndjekur nga kodimi i dyfishtë Base64

Në operacionin e fundit të vëzhguar të kryer nga DoNot APT, grupi vendosi një ngarkues të ri malware Android të quajtur Firestarter Trojan . Kërcënimi i malware ishte krijuar për të abuzuar me një shërbim legjitim të quajtur Firebase Cloud Messaging (FCM), i ofruar nga një degë e Google. Shërbimi përfaqëson një zgjidhje cloud ndër-platformë për mesazhe dhe njoftime për Android, iOS dhe aplikacione të tjera në ueb.

Ngarkuesi Firestarter shfrytëzoi FCM si një metodë komunikimi me serverët e tij C2. Përdorimi i një shërbimi efektiv e bën shumë më të vështirë zbulimin e trafikut jonormal, pasi ai është i përzier me komunikimet e tjera normale që krijohen.

Në trend

Më e shikuara

Po ngarkohet...