LoptikMod злонамерни софтвер
Појавила се нова кампања која се приписује групи DoNot APT, а приказује употребу прикривеног и упорног соја злонамерног софтвера под називом LoptikMod. Овај алат је искоришћен у циљаном нападу на европско министарство спољних послова, што додатно указује на померање фокуса групе ван Јужне Азије.
Преглед садржаја
Познати актер претње са ширењем домета
Кампања је повезана са DoNot тимом, софистицираном групом за напредне перзистентне претње (APT) познатом под разним псеудонимима, укључујући APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 и Viceroy Tiger. Са операцијама које датирају најмање од 2016. године, група има документовану историју циљања владиних агенција, министарстава спољних послова, одбрамбених организација и невладиних организација, посебно у Јужној Азији и Европи.
Историјски гледано, DoNot APT је користио прилагођени малвер, посебно YTY и GEdit, често примењен путем фишинг кампања и злонамерних прилога докумената.
Намамити мету: Фишинг као улазна тачка
Напад почиње обмањујућом фишинг поруком имејла направљеном да изгледа легитимно и поуздано. Ове поруке, послате са Gmail налога, лажно се представљају као званичници одбране и садрже наслове који се односе на посету италијанског војног аташеа Даки, у Бангладешу. Приметно је да су имејлови форматирани помоћу HTML-а са UTF-8 кодирањем како би се правилно приказали специјални знакови попут „é“, што доприноси њиховој аутентичности.
Линк ка Google диску уграђен у имејл води до преузимања RAR архиве. Ова архива садржи злонамерни извршни фајл дизајниран да имитира PDF датотеку. Када се отвори, извршни фајл покреће инсталацију LoptikMod-а, тројанца за удаљени приступ (RAT) који је ексклузиван за DoNot APT најмање од 2018. године.
Унутар злонамерног софтвера LoptikMod
Једном покренут, LoptikMod се уграђује у систем хоста користећи заказане задатке ради трајности. Затим се повезује са удаљеним сервером за командовање и контролу (C2) како би извршио разне злонамерне активности. То укључује:
- Слање системских информација назад нападачима
- Примање и извршавање додатних команди
- Преузимање додатних злонамерних модула
- Извлачење осетљивих података
Да би се избегло откривање и отежала форензичка анализа, LoptikMod користи анти-VM (виртуелне машине) технике и ASCII обфускацију, што истраживачима безбедности отежава анализу његове пуне функционалности. Поред тога, осигурава да само једна инстанца ради на уређају у сваком тренутку, спречавајући интерне сукобе и смањујући вероватноћу откривања.
Тренутни статус кампање и инфраструктура
Иако је сам LoptikMod способан и упоран, C2 сервер који је био укључен у најновији напад је тренутно неактиван. Ова неактивност може значити да је инфраструктура привремено искључена из мреже, трајно искључена или замењена новим, неоткривеним сервером.
Неактиван статус сервера ограничава могућност истраживача да анализирају тачне команде и податке размењене између заражених крајњих тачака и нападача.
Знаци стратешке промене: Европски циљеви у фокусу
Најновија активност групе DoNot APT показује знаке еволуције. Док се група традиционално концентрисала на интересе Јужне Азије, ова недавна операција показује растуће интересовање за европске дипломатске обавештајне податке, посебно оне који се односе на Јужну Азију.
Ова промена вероватно указује на побољшане оперативне способности и амбициозније обавештајне циљеве. Руководитељи групе можда траже увид у западне дипломатске стратегије, одбрамбену политику и међународне ангажмане са Јужном Азијом.
Кључне закључке
Да би ефикасно ублажиле такве нападе, организације би требало да почну са едукацијом свог особља да препозна покушаје фишинга, чак и када поруке делују веома легитимно. Подједнако је важно континуирано пратити системе због било каквог необичног понашања, као што су неочекивано заказани задаци или одлазне везе ка непознатим серверима, што може указивати на компромитовање.
Поред тога, имплементација алата за „песак“ и анализу понашања може помоћи у откривању и неутрализацији сумњивих извршних датотека пре него што нанесу штету. Одржавање система потпуно ажурираним и укључивање најновијих обавештајних података о претњама осигурава да се познате рањивости благовремено решавају. Коначно, сегментирање мреже може значајно смањити ризик од бочног ширења злонамерног софтвера, чиме се ефикасније ограничавају потенцијални пробоји.
Закључак: Будност је неопходна
Примена LoptikMod-а од стране DoNot APT групе у европској кампањи сајбер шпијунаже је суров подсетник на еволуцију претњи. Како APT групе настављају да унапређују своје алате и проширују своје циљање, посебно на дипломатску имовину високе вредности, организације морају остати будне и проактивне у својој сајбер безбедносној одбрани.
