Mga Lisensya ng Multi-Device (Mga Diskwento sa Dami)
Threat Database Advanced Persistent Threat (APT) Huwag APT

Huwag APT

Sa pamamagitan ng GoldSparrow sa Advanced Persistent Threat (APT)
Isalin To:
Wikang Filipino

Ang DoNot, na kilala rin sa komunidad ng infosec bilang APT-C-35 at SectorE02, ay isang Advanced Persistent Threat (APT) na grupo ng mga hacker na ang mga aktibidad ay maaaring masubaybayan ilang taon pabalik hanggang 2012. Sa panahong iyon, lumawak ang grupo ang mga operasyon nito upang isama ang malawak na hanay ng mga target na sumasaklaw sa ilang kontinente - Bangladesh, Thailand, Sri Lanka, Pilipinas, Argentina, United Arab Emirates at Great Britain. Sa simula pa lang, nanatili ang kanilang pangunahing pokus sa rehiyon ng Timog Asya at Pakistan, India, at krisis sa Kashmir , mas partikular.

Ang pangunahing espesyalisasyon ng grupo ay ang pagsasagawa ng cyberespionage at pagnanakaw ng data. Gumagamit ang DoNot APT ng nagbabantang arsenal na binubuo ng sarili nitong mga nilikhang malware tool. Karamihan sa mga campaign ay nagsasangkot ng isang kumplikadong attach chain na nagsasangkot ng ilang loader at dumaraan sa maraming yugto bago ihatid ang huling malware payload. Ang mga hacker ng DoNot ay nagpakita rin ng kakayahang magpabago at pagbutihin ang kanilang mga tool sa malware, patuloy na binibigyan sila ng mga bagong paggana o sinasamantala ang mga mas sopistikadong pamamaraan.

Sa karamihan ng mga pag-atake nito, ang mga hacker ng DoNot APT ay gumagamit ng mga server ng Command-and-Control (C2, C&C) na nirentahan mula sa DigitalOcean, LLC (ASN 14061) at matatagpuan sa Amsterdam. Para sa bawat bagong domain name, isang bagong inilalaang host ang inilalaan.

Kumplikadong Attack Chaing na Kinasasangkutan ng Custom na Malware

Bagama't hindi kapani-paniwala, may sapat na circumstantial na ebidensya na ang paunang vector ng kompromiso ng grupo ay ang pagpapakalat ng mga email na phishing na nagdadala ng mga dokumento ng MS Word sa Office Open XML na format. Ang paunang dokumento ay hindi nagbabanta, ngunit inaabuso nito ang autoloading functionality ng mga panlabas na elemento upang simulan ang susunod na yugto ng attack chain.

Maraming mga loader ang ibinabagsak sa nakompromisong sistema sa panahon ng proseso, bawat isa ay inatasan ng ibang layunin. Halimbawa, sa isang partikular na kampanya, ang Serviceflow.exe Trojan ay kumilos bilang isang asong nagbabantay sa pagkolekta at pag-iimbak ng sumusunod na impormasyon - pangalan ng user at computer, bersyon ng OS, mga detalye ng processor, \Program Files at \Program Files (86)\ mga detalye ng nilalaman. Responsable din ito sa pag-download at pag-deploy ng mga A64.dll at sinter.exe file. Ang Sinter ay isa pang Trojan, ngunit malaki ang pagkakaiba ng functionality nito. Ipinapaalam nito sa mga banta ng aktor ang tungkol sa kasalukuyang impeksyon sa pamamagitan ng pagpapadala ng kahilingan sa isang partikular na URL habang inilalabas din ang impormasyong nakolekta tungkol sa nakompromisong system sa 'skillsnew[.]top.' Ang impormasyon ay inilaan upang matulungan ang mga hacker na matukoy kung ang target ay karapat-dapat sa karagdagang pagsasamantala.

Patuloy na Pag-unlad Ng Mga Tool sa Malware

Ipinakita ng DoNot APT sa maraming pagkakataon ang patuloy na pagtuon nito sa pag-ulit at pagpapabuti. Ang mga pagsisikap ay madaling makita sa iba't ibang bersyon ng loader na ginagamit ng grupo. Sa mga naunang bersyon, bago ang kalagitnaan ng 2018, ang lahat ng ginamit na mga string ay inimbak sa malinaw na teksto, habang sa mga kasunod na bersyon, ang iba't ibang antas ng pag-encrypt ay nagsimulang ipakilala:

  • Mayo 2018 - naka-encode sa Base64
  • Abril 2019 - double Base64 encoding
  • Enero 2019 - pag-encrypt gamit ang AES algorithm sa CBS mode na sinusundan ng Base64 encoding.
  • Hunyo 2019 - symbol-by-symbol circular subtraction na may set array ng byte, encode gamit ang UTF-8, at sinusundan ng Base64 encoding
  • Oktubre 2019 - binago ng pabilog na simbolo ang XOR na may hanay ng mga byte, na sinusundan ng double Base64 encoding

Sa pinakabagong naobserbahang operasyon na isinagawa ng DoNot APT, nag-deploy ang grupo ng bagong Android malware loader na pinangalanang Firestarter Trojan . Ang banta ng malware ay idinisenyo upang abusuhin ang isang lehitimong serbisyo na tinatawag na Firebase Cloud Messaging (FCM), na ibinigay ng isang subsidiary ng Google. Ang serbisyo ay kumakatawan sa isang cross-platform na cloud solution para sa mga mensahe at notification para sa Android, iOS at iba pang mga Web application.

Sinamantala ng Firestarter loader ang FCM bilang paraan ng komunikasyon sa mga C2 server nito. Ang paggamit ng isang mabisang serbisyo ay nagpapahirap sa pagtuklas ng abnormal na trapiko, dahil ito ay pinaghalo sa iba pang mga normal na komunikasyon na nabuo.

Trending

Pinaka Nanood

Naglo-load...