లోప్టిక్ మోడ్ మాల్వేర్

డోనాట్ APT గ్రూప్‌కు చెందినదిగా చెప్పబడే ఒక కొత్త ప్రచారం వెలుగులోకి వచ్చింది, ఇది లాప్టిక్‌మోడ్ అనే రహస్య మరియు నిరంతర మాల్వేర్ జాతి వాడకాన్ని ప్రదర్శిస్తుంది. ఈ సాధనం యూరోపియన్ విదేశాంగ మంత్రిత్వ శాఖపై లక్ష్యంగా చేసుకున్న దాడిలో ఉపయోగించబడింది, ఇది ఆ గ్రూప్ దృష్టి దక్షిణాసియా దాటి మారుతున్నట్లు సూచిస్తుంది.

విస్తృత పరిధి కలిగిన ప్రసిద్ధ బెదిరింపు నటుడు

ఈ ప్రచారం APT-C-35, మింట్ టెంపెస్ట్, ఒరిగామి ఎలిఫెంట్, SECTOR02, మరియు వైస్రాయ్ టైగర్ వంటి వివిధ మారుపేర్లతో పిలువబడే అధునాతన అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూప్ అయిన డోనాట్ టీమ్‌తో ముడిపడి ఉంది. కనీసం 2016 నాటి కార్యకలాపాలతో, ఈ బృందం ప్రభుత్వ సంస్థలు, విదేశాంగ మంత్రిత్వ శాఖలు, రక్షణ సంస్థలు మరియు NGOలను, ముఖ్యంగా దక్షిణాసియా మరియు యూరప్‌లను లక్ష్యంగా చేసుకున్నట్లు డాక్యుమెంట్ చరిత్ర ఉంది.

చారిత్రాత్మకంగా, DoNot APT కస్టమ్-బిల్ట్ మాల్వేర్‌లను ఉపయోగించింది, ముఖ్యంగా YTY మరియు GEdit, తరచుగా స్పియర్-ఫిషింగ్ ప్రచారాలు మరియు హానికరమైన డాక్యుమెంట్ అటాచ్‌మెంట్‌ల ద్వారా అమలు చేయబడతాయి.

లక్ష్యాన్ని ఆకర్షించడం: ఎంట్రీ పాయింట్‌గా ఫిషింగ్

ఈ దాడి చట్టబద్ధమైనదిగా మరియు నమ్మదగినదిగా కనిపించేలా రూపొందించబడిన మోసపూరిత ఫిషింగ్ ఇమెయిల్‌తో ప్రారంభమవుతుంది. Gmail ఖాతా నుండి పంపబడిన ఈ సందేశాలు రక్షణ అధికారులను అనుకరిస్తాయి మరియు ఇటాలియన్ డిఫెన్స్ అటాచ్ బంగ్లాదేశ్‌లోని ఢాకాకు చేసిన సందర్శనను సూచించే సబ్జెక్ట్ లైన్‌లను కలిగి ఉంటాయి. ముఖ్యంగా, ఈమెయిల్‌లు 'é' వంటి ప్రత్యేక అక్షరాలను సరిగ్గా రెండర్ చేయడానికి UTF-8 ఎన్‌కోడింగ్‌తో HTMLని ఉపయోగించి ఫార్మాట్ చేయబడతాయి, వాటి ప్రామాణికతను పెంచుతాయి.

ఇమెయిల్‌లో పొందుపరిచిన Google డిస్క్ లింక్ RAR ఆర్కైవ్‌ను డౌన్‌లోడ్ చేయడానికి దారితీస్తుంది. ఈ ఆర్కైవ్‌లో PDF ఫైల్‌ను అనుకరించడానికి రూపొందించబడిన హానికరమైన ఎక్జిక్యూటబుల్ ఉంటుంది. తెరిచినప్పుడు, ఎక్జిక్యూటబుల్ కనీసం 2018 నుండి DoNot APTకి ప్రత్యేకమైన రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) అయిన LoptikMod యొక్క విస్తరణను ప్రారంభిస్తుంది.

LoptikMod మాల్వేర్ లోపల

అమలు చేసిన తర్వాత, LoptikMod నిలకడ కోసం షెడ్యూల్ చేయబడిన పనులను ఉపయోగించి హోస్ట్ సిస్టమ్‌లోకి తనను తాను పొందుపరుస్తుంది. తరువాత ఇది వివిధ హానికరమైన కార్యకలాపాలను నిర్వహించడానికి రిమోట్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు కనెక్ట్ అవుతుంది. వీటిలో ఇవి ఉన్నాయి:

• దాడి చేసేవారికి సిస్టమ్ సమాచారాన్ని తిరిగి పంపడం
• అదనపు ఆదేశాలను స్వీకరించడం మరియు అమలు చేయడం
• అదనపు హానికరమైన మాడ్యూళ్ళను డౌన్‌లోడ్ చేస్తోంది
• సున్నితమైన డేటాను వెలికితీయడం

గుర్తింపును నివారించడానికి మరియు ఫోరెన్సిక్ విశ్లేషణను అడ్డుకోవడానికి, LoptikMod యాంటీ-VM (వర్చువల్ మెషిన్) పద్ధతులను మరియు ASCII అస్పష్టతను ఉపయోగిస్తుంది, దీని వలన భద్రతా పరిశోధకులు దాని పూర్తి కార్యాచరణను విడదీయడం కష్టమవుతుంది. అదనంగా, ఇది ఏ సమయంలోనైనా ఒక పరికరంలో ఒకే ఒక సందర్భం నడుస్తుందని నిర్ధారిస్తుంది, అంతర్గత సంఘర్షణలను నివారిస్తుంది మరియు గుర్తింపు సంభావ్యతను తగ్గిస్తుంది.

ప్రస్తుత ప్రచార స్థితి మరియు మౌలిక సదుపాయాలు

LoptikMod స్వయంగా సామర్థ్యం కలిగి మరియు నిరంతరంగా ఉన్నప్పటికీ, ఇటీవలి దాడిలో పాల్గొన్న C2 సర్వర్ ప్రస్తుతం నిష్క్రియంగా ఉంది. ఈ నిష్క్రియాత్మకత అంటే మౌలిక సదుపాయాలను తాత్కాలికంగా ఆఫ్‌లైన్‌లోకి తీసుకెళ్లడం, శాశ్వతంగా మూసివేయడం లేదా కొత్త, కనుగొనబడని సర్వర్‌తో భర్తీ చేయడం కావచ్చు.

సర్వర్ యొక్క నిష్క్రియ స్థితి, సోకిన ఎండ్ పాయింట్‌లు మరియు దాడి చేసేవారి మధ్య మార్పిడి చేయబడిన ఖచ్చితమైన ఆదేశాలు మరియు డేటాను విశ్లేషించే పరిశోధకుల సామర్థ్యాన్ని పరిమితం చేస్తుంది.

వ్యూహాత్మక మార్పు సంకేతాలు: యూరోపియన్ లక్ష్యాలపై దృష్టి

DoNot APT తాజా కార్యకలాపాలు పరిణామ సంకేతాలను చూపిస్తున్నాయి. ఈ బృందం సాంప్రదాయకంగా దక్షిణాసియా ప్రయోజనాలపై దృష్టి సారించినప్పటికీ, ఈ ఇటీవలి ఆపరేషన్ యూరోపియన్ దౌత్య నిఘాపై, ముఖ్యంగా దక్షిణాసియాకు సంబంధించిన వాటిపై పెరుగుతున్న ఆసక్తిని ప్రదర్శిస్తుంది.

ఈ మార్పు మెరుగైన కార్యాచరణ సామర్థ్యాలను మరియు మరింత ప్రతిష్టాత్మకమైన నిఘా లక్ష్యాలను సూచిస్తుంది. ఈ బృందం యొక్క నిర్వాహకులు పాశ్చాత్య దౌత్య వ్యూహాలు, రక్షణ విధానాలు మరియు దక్షిణాసియాతో అంతర్జాతీయ సంబంధాలపై అంతర్దృష్టులను కోరుతూ ఉండవచ్చు.

కీ టేకావేస్

అటువంటి దాడులను సమర్థవంతంగా తగ్గించడానికి, సందేశాలు అత్యంత చట్టబద్ధంగా కనిపించినప్పటికీ, ఫిషింగ్ ప్రయత్నాలను గుర్తించడానికి సంస్థలు తమ సిబ్బందికి అవగాహన కల్పించడం ద్వారా ప్రారంభించాలి. ఊహించని షెడ్యూల్ చేసిన పనులు లేదా తెలియని సర్వర్‌లకు అవుట్‌బౌండ్ కనెక్షన్‌లు వంటి ఏదైనా అసాధారణ ప్రవర్తన కోసం సిస్టమ్‌లను నిరంతరం పర్యవేక్షించడం కూడా అంతే ముఖ్యం, ఇది రాజీని సూచిస్తుంది.

అదనంగా, శాండ్‌బాక్సింగ్ మరియు ప్రవర్తనా విశ్లేషణ సాధనాలను అమలు చేయడం వలన అనుమానాస్పద ఎగ్జిక్యూటబుల్‌లు హాని కలిగించే ముందు వాటిని గుర్తించి తటస్థీకరించవచ్చు. సిస్టమ్‌లను పూర్తిగా ప్యాచ్ చేయడం మరియు తాజా ముప్పు నిఘా ఫీడ్‌లను చేర్చడం వలన తెలిసిన దుర్బలత్వాలు వెంటనే పరిష్కరించబడతాయని నిర్ధారిస్తుంది. చివరగా, నెట్‌వర్క్‌ను విభజించడం వలన మాల్వేర్ పార్శ్వంగా వ్యాపించే ప్రమాదాన్ని గణనీయంగా తగ్గించవచ్చు, తద్వారా సంభావ్య ఉల్లంఘనలను మరింత సమర్థవంతంగా కలిగి ఉంటుంది.

తీర్మానం: అప్రమత్తత తప్పనిసరి

యూరోపియన్ సైబర్ గూఢచర్య ప్రచారంలో డోనాట్ APT గ్రూప్ లాప్టిక్‌మోడ్‌ను మోహరించడం అనేది అభివృద్ధి చెందుతున్న ముప్పు ప్రకృతి దృశ్యాన్ని స్పష్టంగా గుర్తు చేస్తుంది. APT గ్రూపులు తమ సాధనాలను మెరుగుపరుచుకుంటూ, ముఖ్యంగా అధిక-విలువైన దౌత్య ఆస్తుల వైపు తమ లక్ష్యాలను విస్తరిస్తూనే ఉన్నందున, సంస్థలు తమ సైబర్ భద్రతా రక్షణలలో అప్రమత్తంగా మరియు చురుగ్గా ఉండాలి.