Не АПТ

ДоНот, такође познат у инфосец заједници као АПТ-Ц-35 и СецторЕ02, је група хакера за напредну трајну претњу (АПТ) чије активности се могу пратити неколико година уназад све до 2012. Током тог периода, група се проширила његове операције обухватају широк спектар циљева који обухватају неколико континената - Бангладеш, Тајланд, Шри Ланку, Филипине, Аргентину, Уједињене Арапске Емирате и Велику Британију. Од самог почетка, њихов главни фокус је остао на региону Јужне Азије и Пакистану, Индији и Кашмирској кризи , тачније.

Главна специјализација групе је спровођење сајбер шпијунаже и крађе података. ДоНот АПТ користи претећи арсенал који се састоји од сопствених креација малвера. Већина кампања укључује сложени ланац причвршћивања који укључује неколико учитавача и пролази кроз више фаза пре испоруке коначног садржаја злонамерног софтвера. ДоНот хакери су такође показали способност да иновирају и побољшају своје алате за малвер, стално их опремајући новим функционалностима или користећи предности софистициранијих техника.

У већини својих напада, ДоНот АПТ хакери користе Цомманд-анд-Цонтрол (Ц2, Ц&Ц) сервере изнајмљене од ДигиталОцеан, ЛЛЦ (АСН 14061) и који се налазе у Амстердаму. За свако ново име домена резервише се ново додељени хост.

Сложено праћење напада који укључује прилагођени малвер

Иако није коначан, постоји довољно посредних доказа да је почетни компромисни вектор групе ширење пхисхинг е-порука које носе МС Ворд документе у Оффице Опен КСМЛ формату. Почетни документ не представља претњу, али злоупотребљава функцију аутоматског учитавања спољних елемената да би покренуо следећу фазу ланца напада.

Неколико утоваривача се баца на компромитовани систем током процеса, од којих сваки има другачији циљ. На пример, у одређеној кампањи, тројанац Сервицефлов.еке је деловао као чувар прикупљајући и чувајући следеће информације - име корисника и рачунара, верзију ОС-а, детаље о процесору, \Програмске датотеке и \Програмске датотеке (86)\ детаље садржаја. Такође је одговоран за преузимање и примену датотека А64.длл и синтер.еке. Синтер је још један тројанац, али се његова функционалност значајно разликује. Он обавештава актере претњи о тренутној зарази тако што шаље захтев на одређену УРЛ адресу, док истовремено ексфилтрира информације прикупљене о компромитованом систему на 'скиллснев[.]топ.' Те информације имају за циљ да помогну хакерима да утврде да ли је мета вредна даље експлоатације.

Стални развој алата за малвер

ДоНот АПТ је у бројним приликама демонстрирао свој континуирани фокус на понављање и побољшање. Напори се могу лако видети у различитим верзијама утоваривача које користи група. У ранијим верзијама, пре средине 2018. године, сви коришћени низови су чувани у чистом тексту, док су у наредним верзијама почели да се уводе различити нивои шифровања:

• Мај 2018. - кодирано са Басе64
• Април 2019. - двоструко Басе64 кодирање
• Јануар 2019. - шифровање са АЕС алгоритмом у ЦБС режиму праћено Басе64 кодирањем.
• Јун 2019. - кружно одузимање симбол по симбол са постављеним низом бајтова, кодирање са УТФ-8, а затим Басе64 кодирање
• Октобар 2019. - кружни модификовани КСОР симбол по симбол са постављеним низом бајтова, праћен двоструким Басе64 кодирањем

У последњој примећеној операцији коју је спровео ДоНот АПТ, група је применила нови Андроид учитавач малвера под називом Фирестартер Тројан . Претња од малвера је дизајнирана да злоупотреби легитимну услугу под називом Фиребасе Цлоуд Мессагинг (ФЦМ), коју је обезбедила подружница компаније Гоогле. Сервис представља мулти-платформско решење у облаку за поруке и обавештења за Андроид, иОС и друге веб апликације.

Фирестартер лоадер је искористио ФЦМ као метод комуникације са својим Ц2 серверима. Коришћење ефикасне услуге чини откривање ненормалног саобраћаја много тежим, јер се меша са осталим нормалним комуникацијама које се генеришу.