APT வேண்டாம்

APT-C-35 மற்றும் SectorE02 என infosec சமூகத்தில் அறியப்படும் DoNot, ஹேக்கர்களின் மேம்பட்ட நிலைத்தடுப்பு (APT) குழுவாகும், அதன் செயல்பாடுகள் பல ஆண்டுகளுக்கு முன்பு 2012 வரை கண்டறியப்பட்டது. அந்தக் காலகட்டத்தில், குழு விரிவடைந்தது. பங்களாதேஷ், தாய்லாந்து, இலங்கை, பிலிப்பைன்ஸ், அர்ஜென்டினா, ஐக்கிய அரபு எமிரேட்ஸ் மற்றும் கிரேட் பிரிட்டன் - பல கண்டங்களில் பரந்த அளவிலான இலக்குகளை உள்ளடக்கிய அதன் செயல்பாடுகள். தொடக்கத்திலிருந்தே, அவர்களின் முக்கிய கவனம் தெற்காசியப் பகுதி மற்றும் பாகிஸ்தான், இந்தியா மற்றும் காஷ்மீர் நெருக்கடி , இன்னும் குறிப்பாக.

குழுவின் முக்கிய நிபுணத்துவம் இணைய உளவு மற்றும் தரவு திருட்டு. DoNot APT அதன் சொந்த தீம்பொருள் கருவி உருவாக்கங்களைக் கொண்ட அச்சுறுத்தும் ஆயுதக் களஞ்சியத்தைப் பயன்படுத்துகிறது. பெரும்பாலான பிரச்சாரங்கள், பல ஏற்றிகளை உள்ளடக்கிய ஒரு சிக்கலான இணைப்புச் சங்கிலியை உள்ளடக்கியது மற்றும் இறுதி மால்வேர் பேலோடை வழங்குவதற்கு முன் பல நிலைகளைக் கடந்து செல்கிறது. DoNot ஹேக்கர்கள் தங்கள் மால்வேர் கருவிகளை புதுமைப்படுத்தி மேம்படுத்தும் திறனைக் காட்டியுள்ளனர், தொடர்ந்து புதிய செயல்பாடுகளுடன் அவற்றைச் சித்தப்படுத்துகிறார்கள் அல்லது அதிநவீன நுட்பங்களைப் பயன்படுத்திக் கொள்கிறார்கள்.

அதன் பெரும்பாலான தாக்குதல்களில், DoNot APT ஹேக்கர்கள், DigitalOcean, LLC (ASN 14061) இலிருந்து வாடகைக்கு எடுக்கப்பட்ட மற்றும் ஆம்ஸ்டர்டாமில் உள்ள கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகங்களைப் பயன்படுத்துகின்றனர். ஒவ்வொரு புதிய டொமைன் பெயருக்கும், புதிதாக ஒதுக்கப்பட்ட ஹோஸ்ட் ஒதுக்கப்பட்டுள்ளது.

தனிப்பயன் மால்வேரை உள்ளடக்கிய சிக்கலான தாக்குதல் சங்கிலி

ஆஃபீஸ் ஓபன் எக்ஸ்எம்எல் வடிவத்தில் MS Word ஆவணங்களைக் கொண்ட ஃபிஷிங் மின்னஞ்சல்களை பரப்புவதே குழுவின் ஆரம்ப சமரச திசையன் என்பதற்கு போதுமான சூழ்நிலை ஆதாரங்கள் உள்ளன. ஆரம்ப ஆவணம் அச்சுறுத்தலாக இல்லை, ஆனால் தாக்குதல் சங்கிலியின் அடுத்த கட்டத்தைத் தொடங்க வெளிப்புற உறுப்புகளின் ஆட்டோலோடிங் செயல்பாட்டை இது தவறாகப் பயன்படுத்துகிறது.

செயல்பாட்டின் போது பல ஏற்றிகள் சமரசம் செய்யப்பட்ட கணினியில் கைவிடப்படுகின்றன, ஒவ்வொன்றும் வெவ்வேறு நோக்கத்துடன் பணிபுரிகின்றன. எடுத்துக்காட்டாக, ஒரு குறிப்பிட்ட பிரச்சாரத்தில், Serviceflow.exe Trojan பின்வரும் தகவல்களைச் சேகரித்து சேமிக்கும் கண்காணிப்பாளராகச் செயல்பட்டது - பயனர் மற்றும் கணினி பெயர், OS பதிப்பு, செயலி விவரங்கள், \நிரல் கோப்புகள் மற்றும் \நிரல் கோப்புகள் (86)\ உள்ளடக்க விவரங்கள். A64.dll மற்றும் sinter.exe கோப்புகளைப் பதிவிறக்குவதற்கும் பயன்படுத்துவதற்கும் இது பொறுப்பாகும். சின்டர் மற்றொரு ட்ரோஜன், ஆனால் அதன் செயல்பாடு கணிசமாக வேறுபட்டது. ஒரு குறிப்பிட்ட URL க்கு கோரிக்கையை அனுப்புவதன் மூலம் தற்போதைய தொற்று பற்றி அச்சுறுத்தல் நடிகர்களுக்குத் தெரிவிக்கிறது, அதே சமயம் சமரசம் செய்யப்பட்ட அமைப்பு பற்றி சேகரிக்கப்பட்ட தகவலை 'skillsnew[.] top.' இலக்கு மேலும் சுரண்டுவதற்கு தகுதியானதா என்பதை ஹேக்கர்கள் தீர்மானிக்க உதவும் வகையில் இந்தத் தகவல் உள்ளது.

மால்வேர் கருவிகளின் நிலையான வளர்ச்சி

DoNot APT ஆனது பல சந்தர்ப்பங்களில் அதன் தொடர்ச்சியான கவனம் திரும்பச் செய்தல் மற்றும் மேம்பாட்டில் இருப்பதை நிரூபித்துள்ளது. குழுவால் பயன்படுத்தப்படும் வெவ்வேறு ஏற்றி பதிப்புகளில் முயற்சிகளை எளிதாகக் காணலாம். முந்தைய பதிப்புகளில், 2018 ஆம் ஆண்டின் நடுப்பகுதிக்கு முன், பயன்படுத்தப்பட்ட அனைத்து சரங்களும் தெளிவான உரையில் சேமிக்கப்பட்டன, அதே நேரத்தில் அடுத்தடுத்த பதிப்புகளில், பல்வேறு நிலை குறியாக்கம் அறிமுகப்படுத்தப்பட்டது:

• மே 2018 - Base64 உடன் குறியிடப்பட்டது
• ஏப்ரல் 2019 - இரட்டை Base64 குறியாக்கம்
• ஜனவரி 2019 - CBS பயன்முறையில் AES அல்காரிதம் மூலம் குறியாக்கம் மற்றும் Base64 குறியாக்கம்.
• ஜூன் 2019 - பைட்டுகளின் தொகுப்பு வரிசையுடன் சின்னம் மூலம் சின்னம் வட்டக் கழித்தல், UTF-8 உடன் குறியாக்கம், அதன் பின் Base64 குறியாக்கம்
• அக்டோபர் 2019 - பைட்டுகளின் தொகுப்பு வரிசையுடன் XOR மாற்றியமைக்கப்பட்ட சின்னம்-குறியீடு, அதைத் தொடர்ந்து இரட்டை Base64 குறியாக்கம்

DoNot APT ஆல் நடத்தப்பட்ட சமீபத்திய கவனிக்கப்பட்ட செயல்பாட்டில், குழுவானது Firestarter Trojan என்ற புதிய ஆண்ட்ராய்டு மால்வேர் லோடரைப் பயன்படுத்தியது. தீம்பொருள் அச்சுறுத்தல் Google இன் துணை நிறுவனத்தால் வழங்கப்படும் Firebase Cloud Messaging (FCM) என்ற முறையான சேவையைத் தவறாகப் பயன்படுத்துவதற்காக வடிவமைக்கப்பட்டுள்ளது. ஆண்ட்ராய்டு, iOS மற்றும் பிற இணையப் பயன்பாடுகளுக்கான செய்திகள் மற்றும் அறிவிப்புகளுக்கான கிராஸ்-பிளாட்ஃபார்ம் கிளவுட் தீர்வை இந்தச் சேவை பிரதிபலிக்கிறது.

Firestarter ஏற்றி FCM ஐ அதன் C2 சேவையகங்களுடனான தொடர்பு முறையாகப் பயன்படுத்தியது. ஒரு பயனுள்ள சேவையின் பயன்பாடு அசாதாரண போக்குவரத்தைக் கண்டறிவதை மிகவும் கடினமாக்குகிறது, ஏனெனில் இது பிற சாதாரண தகவல்தொடர்புகளுடன் இணைக்கப்பட்டுள்ளது.