APT చేయవద్దు

ఇన్ఫోసెక్ కమ్యూనిటీలో APT-C-35 మరియు SectorE02 అని కూడా పిలువబడే DoNot, హ్యాకర్‌ల యొక్క అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూప్, దీని కార్యకలాపాలను చాలా సంవత్సరాల క్రితం 2012 వరకు గుర్తించవచ్చు. ఆ కాలంలో, సమూహం విస్తరించింది. బంగ్లాదేశ్, థాయిలాండ్, శ్రీలంక, ఫిలిప్పీన్స్, అర్జెంటీనా, యునైటెడ్ అరబ్ ఎమిరేట్స్ మరియు గ్రేట్ బ్రిటన్ - అనేక ఖండాలలో విస్తరించి ఉన్న విస్తృత లక్ష్యాలను చేర్చడానికి దాని కార్యకలాపాలు. కుడి నుంచి, వారి ప్రధాన దృష్టి దక్షిణ ఆసియా ప్రాంతం మరియు పాకిస్తాన్, భారతదేశం, మరియు కాశ్మీర్ సంక్షోభం, మరింత ప్రత్యేకంగా మిగిలిపోయింది.

సమూహం యొక్క ప్రధాన ప్రత్యేకత సైబర్‌స్పియోనేజ్ మరియు డేటా చోరీని నిర్వహించడం. DoNot APT దాని స్వంత మాల్వేర్ టూల్ క్రియేషన్స్‌తో కూడిన బెదిరింపు ఆయుధశాలను ఉపయోగిస్తుంది. చాలా ప్రచారాలు సంక్లిష్టమైన అటాచ్ చైన్‌ను కలిగి ఉంటాయి, ఇందులో అనేక లోడర్‌లు ఉంటాయి మరియు చివరి మాల్వేర్ పేలోడ్ డెలివరీకి ముందు అనేక దశల ద్వారా వెళుతుంది. DoNot హ్యాకర్లు తమ మాల్వేర్ సాధనాలను ఆవిష్కరించే మరియు మెరుగుపరచగల సామర్థ్యాన్ని ప్రదర్శించారు, వాటిని నిరంతరం కొత్త కార్యాచరణలతో సన్నద్ధం చేస్తారు లేదా మరింత అధునాతన సాంకేతికతలను ఉపయోగించుకుంటారు.

దాని చాలా దాడులలో, DoNot APT హ్యాకర్లు DigitalOcean, LLC (ASN 14061) నుండి అద్దెకు తీసుకున్న మరియు ఆమ్‌స్టర్‌డామ్‌లో ఉన్న కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్‌లను ఉపయోగిస్తున్నారు. ప్రతి కొత్త డొమైన్ పేరు కోసం, కొత్తగా కేటాయించిన హోస్ట్ రిజర్వ్ చేయబడుతోంది.

కస్టమ్ మాల్వేర్‌తో కూడిన కాంప్లెక్స్ అటాక్ చైంగ్

నిశ్చయాత్మకం కానప్పటికీ, ఆఫీస్ ఓపెన్ XML ఆకృతిలో MS Word డాక్యుమెంట్‌లను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్‌ల వ్యాప్తి సమూహం యొక్క ప్రారంభ రాజీ వెక్టర్ అని చెప్పడానికి తగినంత సందర్భోచిత సాక్ష్యం ఉంది. ప్రారంభ పత్రం బెదిరింపు కాదు, కానీ దాడి గొలుసు యొక్క తదుపరి దశను ప్రారంభించడానికి బాహ్య మూలకాల యొక్క ఆటోలోడింగ్ కార్యాచరణను దుర్వినియోగం చేస్తుంది.

ప్రక్రియ సమయంలో అనేక లోడర్‌లు రాజీపడిన సిస్టమ్‌పైకి వదలివేయబడతాయి, ఒక్కొక్కటి వేరే లక్ష్యంతో పని చేస్తాయి. ఉదాహరణకు, ఒక నిర్దిష్ట ప్రచారంలో, Serviceflow.exe ట్రోజన్ కింది సమాచారాన్ని సేకరించే మరియు నిల్వ చేసే వాచ్‌డాగ్‌గా పనిచేసింది - వినియోగదారు మరియు కంప్యూటర్ పేరు, OS వెర్షన్, ప్రాసెసర్ వివరాలు, \ప్రోగ్రామ్ ఫైల్‌లు మరియు \Program Files (86)\ కంటెంట్ వివరాలు. ఇది A64.dll మరియు sinter.exe ఫైల్‌లను డౌన్‌లోడ్ చేయడానికి మరియు అమలు చేయడానికి కూడా బాధ్యత వహిస్తుంది. సింటర్ మరొక ట్రోజన్, కానీ దాని కార్యాచరణ గణనీయంగా భిన్నంగా ఉంటుంది. ఇది ఒక నిర్దిష్ట URLకి అభ్యర్థనను పంపడం ద్వారా ప్రస్తుత ఇన్ఫెక్షన్ గురించి ముప్పు నటులకు తెలియజేస్తుంది, అదే సమయంలో రాజీపడిన సిస్టమ్ గురించి సేకరించిన సమాచారాన్ని 'స్కిల్స్‌న్యూ[.]టాప్‌కు' అందిస్తుంది. లక్ష్యం మరింత దోపిడీకి అర్హమైనది కాదా అని హ్యాకర్లు గుర్తించడంలో సహాయపడటానికి సమాచారం ఉద్దేశించబడింది.

మాల్వేర్ సాధనాల స్థిరమైన అభివృద్ధి

DoNot APT అనేక సందర్భాల్లో పునరావృతం మరియు అభివృద్ధిపై దాని నిరంతర దృష్టిని ప్రదర్శించింది. సమూహముచే ఉపయోగించబడిన వివిధ లోడర్ వెర్షన్లలో ప్రయత్నాలను సులభంగా చూడవచ్చు. మునుపటి సంస్కరణల్లో, 2018 మధ్యకాలం కంటే ముందు, ఉపయోగించిన అన్ని స్ట్రింగ్‌లు క్లియర్‌టెక్స్ట్‌లో నిల్వ చేయబడ్డాయి, అయితే తదుపరి సంస్కరణల్లో, వివిధ స్థాయి ఎన్‌క్రిప్షన్‌లు ప్రవేశపెట్టడం ప్రారంభించబడింది:

• మే 2018 - Base64తో ఎన్‌కోడ్ చేయబడింది
• ఏప్రిల్ 2019 - డబుల్ Base64 ఎన్‌కోడింగ్
• జనవరి 2019 - CBS మోడ్‌లో AES అల్గారిథమ్‌తో ఎన్‌క్రిప్షన్ తర్వాత Base64 ఎన్‌కోడింగ్.
• జూన్ 2019 - బైట్‌ల సెట్ శ్రేణితో సింబల్-బై-సింబల్ వృత్తాకార వ్యవకలనం, UTF-8తో ఎన్‌కోడ్ చేసి, ఆపై Base64 ఎన్‌కోడింగ్
• అక్టోబరు 2019 - బైట్‌ల సెట్ శ్రేణితో సింబల్-బై-సింబల్ సర్క్యులర్ సవరించబడిన XOR, తర్వాత డబుల్ Base64 ఎన్‌కోడింగ్

DoNot APT నిర్వహించిన తాజా గమనించిన ఆపరేషన్‌లో, సమూహం Firestarter Trojan పేరుతో కొత్త Android మాల్వేర్ లోడర్‌ని అమలు చేసింది. Google అనుబంధ సంస్థ అందించిన Firebase Cloud Messaging (FCM) అనే చట్టబద్ధమైన సేవను దుర్వినియోగం చేసేందుకు మాల్వేర్ ముప్పు రూపొందించబడింది. సేవ Android, iOS మరియు ఇతర వెబ్ అప్లికేషన్‌ల కోసం సందేశాలు మరియు నోటిఫికేషన్‌ల కోసం క్రాస్-ప్లాట్‌ఫారమ్ క్లౌడ్ పరిష్కారాన్ని సూచిస్తుంది.

ఫైర్‌స్టార్టర్ లోడర్ FCMని దాని C2 సర్వర్‌లతో కమ్యూనికేషన్ పద్ధతిగా ఉపయోగించుకుంది. ప్రభావవంతమైన సేవ యొక్క ఉపయోగం అసాధారణ ట్రాఫిక్‌ను గుర్తించడం చాలా కష్టతరం చేస్తుంది, ఎందుకంటే ఇది ఉత్పత్తి చేయబడిన ఇతర సాధారణ కమ్యూనికేషన్‌లతో మిళితం చేయబడింది.