DoNot APT

DoNot, även känd inom infosec-communityt som APT-C-35 och SectorE02, är en Advanced Persistent Threat (APT) grupp av hackare vars aktiviteter kan spåras flera år tillbaka hela vägen till 2012. Under den perioden har gruppen expanderat dess verksamhet omfattar ett brett spektrum av mål som spänner över flera kontinenter - Bangladesh, Thailand, Sri Lanka, Filippinerna, Argentina, Förenade Arabemiraten och Storbritannien. Redan från början har deras huvudfokus legat kvar på regionen Sydasien och Pakistan, Indien och Kashmirkrisen , mer specifikt.

Gruppens huvudinriktning är att bedriva cyberspionage och datastöld. DoNot APT använder en hotfull arsenal som består av sina egna skadliga verktyg. De flesta kampanjer involverar en komplex anslutningskedja som involverar flera laddare och som går igenom flera stadier innan leveransen av den sista skadliga nyttolasten. DoNot-hackarna har också visat en förmåga att förnya och förbättra sina malware-verktyg, ständigt utrusta dem med nya funktioner eller dra nytta av mer sofistikerade tekniker.

I de flesta av sina attacker använder DoNot APT-hackarna Command-and-Control (C2, C&C)-servrar som hyrs från DigitalOcean, LLC (ASN 14061) och ligger i Amsterdam. För varje nytt domännamn reserveras en nytilldelad värd.

Komplex attack Chaing som involverar anpassad skadlig programvara

Även om det inte är avgörande, finns det tillräckligt med indicier för att gruppens första kompromissvektor är spridningen av nätfiske-e-postmeddelanden med MS Word-dokument i Office Open XML-format. Det initiala dokumentet är inte hotfullt, men det missbrukar den automatiska laddningsfunktionen hos externa element för att initiera nästa steg i attackkedjan.

Flera lastare släpps ned på det komprometterade systemet under processen, var och en med olika mål. Till exempel, i en specifik kampanj, agerade Serviceflow.exe-trojanen som en övervakningshund som samlade in och lagrade följande information - användar- och datornamn, OS-version, processordetaljer, \Program Files och \Program Files (86)\ innehållsdetaljer. Den ansvarar också för nedladdning och distribution av A64.dll- och sinter.exe-filerna. Sinter är en annan trojan, men dess funktionalitet är avsevärt annorlunda. Den informerar hotaktörerna om den aktuella infektionen genom att skicka en förfrågan till en specifik URL och samtidigt exfiltrera informationen som samlats in om det komprometterade systemet till 'skillsnew[.]top.' Informationen är avsedd att hjälpa hackarna att avgöra om målet är värt att utnyttjas ytterligare.

Konstant utveckling av verktyg för skadlig programvara

DoNot APT har vid ett flertal tillfällen visat sitt fortsatta fokus på iteration och förbättring. Insatserna kan lätt ses i olika lastarversioner som används av koncernen. I de tidigare versionerna, före mitten av 2018, lagrades alla använda strängar i klartext, medan i de efterföljande versionerna hade olika krypteringsnivåer börjat introduceras:

• maj 2018 - kodad med Base64
• April 2019 - dubbel Base64-kodning
• Januari 2019 - kryptering med AES-algoritmen i CBS-läge följt av Base64-kodning.
• Juni 2019 - symbol-för-symbol cirkulär subtraktion med den inställda arrayen av byte, koda med UTF-8 och följt av Base64-kodning
• Oktober 2019 - symbol-för-symbol cirkulär modifierad XOR med den inställda arrayen av byte, följt av dubbel Base64-kodning

I den senaste observerade operationen som genomfördes av DoNot APT, implementerade gruppen en ny Android-programvara som laddar med namnet Firestarter Trojan. Skadlig programvara var utformad för att missbruka en legitim tjänst som heter Firebase Cloud Messaging (FCM), som tillhandahålls av ett dotterbolag till Google. Tjänsten representerar en plattformsoberoende molnlösning för meddelanden och aviseringar för Android, iOS och andra webbapplikationer.

Firestarter-lastaren utnyttjade FCM som en kommunikationsmetod med sina C2-servrar. Användningen av en effektiv tjänst gör upptäckten av den onormala trafiken så mycket svårare, eftersom den blandas med andra normala kommunikationer som genereras.