อย่า APT

DoNot หรือที่รู้จักกันในชุมชน infosec ในชื่อ APT-C-35 และ SectorE02 เป็นกลุ่มแฮกเกอร์ขั้นสูงที่คุกคามต่อเนื่อง (APT) ซึ่งสามารถติดตามกิจกรรมได้หลายปีย้อนหลังไปถึงปี 2555 ในช่วงเวลานั้นกลุ่มได้ขยาย การดำเนินงานของบริษัทครอบคลุมเป้าหมายที่หลากหลายซึ่งครอบคลุมหลายทวีป - บังคลาเทศ ไทย ศรีลังกา ฟิลิปปินส์ อาร์เจนตินา สหรัฐอาหรับเอมิเรตส์ และบริเตนใหญ่ ขวาจากจุดเริ่มต้นจุดสนใจหลักของพวกเขาได้ยังคงอยู่ในภูมิภาคเอเชียใต้และปากีสถานอินเดียและวิกฤตแคชเมียร์มากขึ้นโดยเฉพาะ

ความเชี่ยวชาญหลักของกลุ่มคือการดำเนินการจารกรรมทางอินเทอร์เน็ตและการขโมยข้อมูล DoNot APT ใช้คลังแสงที่คุกคามซึ่งประกอบด้วยเครื่องมือสร้างมัลแวร์ของตัวเอง แคมเปญส่วนใหญ่เกี่ยวข้องกับห่วงโซ่การแนบที่ซับซ้อนซึ่งเกี่ยวข้องกับตัวโหลดหลายตัวและต้องผ่านหลายขั้นตอนก่อนส่งมอบเพย์โหลดมัลแวร์ขั้นสุดท้าย แฮกเกอร์ DoNot ยังได้แสดงความสามารถในการคิดค้นและปรับปรุงเครื่องมือมัลแวร์ จัดให้มีฟังก์ชันใหม่ๆ หรือใช้ประโยชน์จากเทคนิคที่ซับซ้อนยิ่งขึ้น

ในการโจมตีส่วนใหญ่ แฮกเกอร์ DoNot APT ใช้เซิร์ฟเวอร์ Command-and-Control (C2, C&C) ที่เช่าจาก DigitalOcean, LLC (ASN 14061) และตั้งอยู่ในอัมสเตอร์ดัม สำหรับชื่อโดเมนใหม่แต่ละชื่อ โฮสต์ที่ได้รับการจัดสรรใหม่จะถูกจองไว้

Complex Attack Chaing ที่เกี่ยวข้องกับมัลแวร์แบบกำหนดเอง

แม้ว่าจะยังไม่เป็นที่แน่ชัด แต่ก็มีหลักฐานเพียงพอว่าเวกเตอร์การประนีประนอมกลุ่มแรกของกลุ่มคือการเผยแพร่อีเมลฟิชชิ่งที่มีเอกสาร MS Word ในรูปแบบ Office Open XML เอกสารเริ่มต้นไม่ได้คุกคาม แต่ใช้ฟังก์ชันการโหลดอัตโนมัติขององค์ประกอบภายนอกในทางที่ผิดเพื่อเริ่มต้นขั้นตอนต่อไปของห่วงโซ่การโจมตี

รถตักหลายคันถูกทิ้งลงบนระบบที่ถูกบุกรุกในระหว่างกระบวนการ ซึ่งแต่ละตัวมีหน้าที่ที่แตกต่างกัน ตัวอย่างเช่น ในแคมเปญเฉพาะ โทรจัน Serviceflow.exe ทำหน้าที่เป็นสุนัขเฝ้าบ้านในการรวบรวมและจัดเก็บข้อมูลต่อไปนี้ - ชื่อผู้ใช้และคอมพิวเตอร์ เวอร์ชันของระบบปฏิบัติการ รายละเอียดโปรเซสเซอร์ \Program Files และ \Program Files (86)\ รายละเอียดเนื้อหา นอกจากนี้ยังรับผิดชอบในการดาวน์โหลดและปรับใช้ไฟล์ A64.dll และ sinter.exe Sinter เป็นโทรจันอีกตัวหนึ่ง แต่การทำงานของมันแตกต่างกันอย่างมาก โดยจะแจ้งผู้คุกคามเกี่ยวกับการติดเชื้อในปัจจุบันโดยส่งคำขอไปยัง URL ที่ระบุในขณะที่ทำการกรองข้อมูลที่รวบรวมเกี่ยวกับระบบที่ถูกบุกรุกไปที่ 'skillsnew[.]top' ข้อมูลนี้มีจุดมุ่งหมายเพื่อช่วยให้แฮ็กเกอร์สามารถระบุได้ว่าเป้าหมายนั้นมีค่าควรแก่การแสวงหาประโยชน์เพิ่มเติมหรือไม่

การพัฒนาเครื่องมือมัลแวร์อย่างต่อเนื่อง

DoNot APT ได้แสดงให้เห็นหลายครั้งว่ายังคงมุ่งเน้นที่การทำซ้ำและปรับปรุงอย่างต่อเนื่อง ความพยายามสามารถเห็นได้ง่ายในเวอร์ชันตัวโหลดต่างๆ ที่ใช้โดยกลุ่ม ในเวอร์ชันก่อนหน้า ก่อนกลางปี 2018 สตริงที่ใช้ทั้งหมดถูกจัดเก็บเป็นข้อความธรรมดา ในขณะที่ในเวอร์ชันต่อๆ มา การเข้ารหัสระดับต่างๆ ได้เริ่มถูกนำมาใช้:

• พฤษภาคม 2018 - เข้ารหัสด้วย Base64
• เมษายน 2019 - การเข้ารหัส Base64 สองครั้ง
• มกราคม 2019 - เข้ารหัสด้วยอัลกอริทึม AES ในโหมด CBS ตามด้วยการเข้ารหัส Base64
• มิถุนายน 2019 - การลบแบบวงกลมแบบสัญลักษณ์ทีละสัญลักษณ์ด้วยชุดอาร์เรย์ของไบต์ เข้ารหัสด้วย UTF-8 และตามด้วยการเข้ารหัส Base64
• ตุลาคม 2019 - XOR แบบวงกลมที่แก้ไขด้วยสัญลักษณ์ทีละสัญลักษณ์พร้อมชุดอาร์เรย์ของไบต์ ตามด้วยการเข้ารหัส Base64 สองครั้ง

ในการดำเนินการสังเกตล่าสุดที่จัดทำโดย Donot APT กลุ่มที่นำไปใช้ใหม่สำหรับรถตักดินมัลแวร์ Android ชื่อ Firestarter โทรจัน ภัยคุกคามจากมัลแวร์ได้รับการออกแบบมาเพื่อละเมิดบริการที่ถูกต้องตามกฎหมายที่เรียกว่า Firebase Cloud Messaging (FCM) ซึ่งให้บริการโดยบริษัทในเครือของ Google บริการนี้เป็นโซลูชันระบบคลาวด์ข้ามแพลตฟอร์มสำหรับข้อความและการแจ้งเตือนสำหรับ Android, iOS และเว็บแอปพลิเคชันอื่นๆ

ตัวโหลด Firestarter ใช้ประโยชน์จาก FCM เป็นวิธีการสื่อสารกับเซิร์ฟเวอร์ C2 การใช้บริการที่มีประสิทธิภาพทำให้การตรวจจับการรับส่งข้อมูลที่ผิดปกตินั้นยากขึ้นมาก เนื่องจากบริการนี้ผสมผสานกับการสื่อสารปกติอื่นๆ ที่ถูกสร้างขึ้น