LoptikMod Malware
Lumitaw ang isang bagong campaign na nauugnay sa pangkat ng DoNot APT, na nagpapakita ng paggamit ng isang patago at patuloy na strain ng malware na pinangalanang LoptikMod. Ang tool na ito ay ginamit sa isang naka-target na pag-atake laban sa isang European foreign affairs ministry, na higit na nagpapahiwatig ng paglipat ng focus ng grupo sa kabila ng South Asia.
Talaan ng mga Nilalaman
Isang Kilalang Threat Actor na may Lumalawak na Abot
Ang kampanya ay na-link sa DoNot Team, isang sopistikadong Advanced Persistent Threat (APT) na grupo na kilala sa iba't ibang alyas, kabilang ang APT-C-35, Mint Tempest, Origami Elephant, SECTOR02, at Viceroy Tiger. Sa mga operasyong itinayo noong hindi bababa sa 2016, ang grupo ay may dokumentadong kasaysayan ng pag-target sa mga ahensya ng gobyerno, foreign ministries, defense entity, at NGO, partikular sa South Asia at Europe.
Sa kasaysayan, ang DoNot APT ay gumagamit ng custom-built na malware, lalo na ang YTY at GEdit, na kadalasang na-deploy sa pamamagitan ng mga spear-phishing na campaign at mga nakakahamak na attachment ng dokumento.
Pag-akit sa Target: Phishing bilang Entry Point
Nagsisimula ang pag-atake sa isang mapanlinlang na email sa phishing na ginawa upang magmukhang lehitimo at mapagkakatiwalaan. Ang mga mensaheng ito, na ipinadala mula sa isang Gmail account, ay nagpapanggap bilang mga opisyal ng depensa at nagtatampok ng mga linya ng paksa na tumutukoy sa pagbisita ng isang Italian Defense Attaché sa Dhaka, Bangladesh. Kapansin-pansin, ang mga email ay na-format gamit ang HTML na may UTF-8 encoding upang mag-render ng mga espesyal na character tulad ng 'é' nang tama, na nagdaragdag sa kanilang pagiging tunay.
Ang isang link sa Google Drive na naka-embed sa email ay humahantong sa pag-download ng isang RAR archive. Naglalaman ang archive na ito ng malisyosong executable na idinisenyo upang gayahin ang isang PDF file. Kapag binuksan, sinisimulan ng executable ang pag-deploy ng LoptikMod, isang remote access trojan (RAT) na naging eksklusibo sa DoNot APT mula noong 2018 man lang.
Sa loob ng LoptikMod Malware
Sa sandaling naisakatuparan, ini-embed ng LoptikMod ang sarili nito sa host system gamit ang mga naka-iskedyul na gawain para sa pagtitiyaga. Pagkatapos ay kumokonekta ito sa isang remote na command-and-control (C2) server upang magsagawa ng iba't ibang malisyosong aktibidad. Kabilang dito ang:
- Pagpapadala ng impormasyon ng system pabalik sa mga umaatake
- Pagtanggap at pagpapatupad ng mga karagdagang utos
- Nagda-download ng mga sobrang nakakahamak na module
- Exfiltrating sensitibong data
Upang maiwasan ang pagtuklas at hadlangan ang forensic analysis, gumagamit ang LoptikMod ng mga diskarteng anti-VM (virtual machine) at ASCII obfuscation, na nagpapahirap sa mga mananaliksik ng seguridad na i-dissect ang buong functionality nito. Bukod pa rito, tinitiyak nito na isang instance lang ang gumagana sa isang device anumang oras, na pumipigil sa mga panloob na salungatan at binabawasan ang posibilidad ng pagtuklas.
Kasalukuyang Katayuan at Imprastraktura ng Kampanya
Habang ang LoptikMod mismo ay may kakayahan at paulit-ulit, ang C2 server na kasangkot sa pinakahuling pag-atake ay kasalukuyang hindi aktibo. Ang kawalan ng aktibidad na ito ay maaaring mangahulugan na ang imprastraktura ay pansamantalang na-offline, permanenteng isinara, o pinalitan ng isang bago, hindi pa natuklasang server.
Nililimitahan ng hindi aktibong status ng server ang kakayahan ng mga mananaliksik na suriin ang eksaktong mga utos at data na ipinagpapalit sa pagitan ng mga nahawaang endpoint at ng mga umaatake.
Mga Palatandaan ng Madiskarteng Pagbabago: Nakatuon ang Mga Target sa Europa
Ang pinakabagong aktibidad ng DoNot APT ay nagpapakita ng mga palatandaan ng ebolusyon. Bagama't tradisyonal na nakatuon ang grupo sa mga interes sa Timog Asya, ang kamakailang operasyong ito ay nagpapakita ng lumalaking interes sa European diplomatic intelligence, partikular na nauugnay sa South Asia.
Ang paglilipat na ito ay malamang na nagpapahiwatig ng pinahusay na mga kakayahan sa pagpapatakbo at mas mapaghangad na mga layunin ng katalinuhan. Ang mga tagapangasiwa ng grupo ay maaaring naghahanap ng mga insight sa Western diplomatic na estratehiya, mga patakaran sa pagtatanggol, at internasyonal na pakikipag-ugnayan sa South Asia.
Mga Pangunahing Takeaway
Upang epektibong mabawasan ang mga naturang pag-atake, dapat magsimula ang mga organisasyon sa pamamagitan ng pagtuturo sa kanilang mga tauhan na kilalanin ang mga pagtatangka sa phishing, kahit na ang mga mensahe ay mukhang lubos na lehitimo. Parehong mahalaga na patuloy na subaybayan ang mga system para sa anumang hindi pangkaraniwang pag-uugali, tulad ng mga hindi inaasahang naka-iskedyul na gawain o papalabas na koneksyon sa mga hindi pamilyar na server, na maaaring magpahiwatig ng kompromiso.
Bilang karagdagan, ang pagpapatupad ng sandboxing at mga tool sa pagsusuri sa pag-uugali ay makakatulong sa pagtukoy at pag-neutralize sa mga kahina-hinalang executable bago sila magdulot ng pinsala. Ang pagpapanatiling ganap na naka-patch ang mga system at ang pagsasama ng pinakabagong mga feed ng intelligence ng pagbabanta ay nagsisiguro na ang mga kilalang kahinaan ay natutugunan kaagad. Sa wakas, ang pagse-segment sa network ay maaaring makabuluhang bawasan ang panganib ng malware na kumakalat sa gilid, sa gayon ay naglalaman ng mga potensyal na paglabag nang mas epektibo.
Konklusyon: Ang Pagpupuyat ay Mahalaga
Ang deployment ng grupong DoNot APT ng LoptikMod sa isang European cyber espionage campaign ay isang matinding paalala ng umuusbong na landscape ng pagbabanta. Habang patuloy na pinapahusay ng mga grupo ng APT ang kanilang mga tool at pinapalawak ang kanilang pag-target, lalo na sa mga high-value diplomatic asset, dapat manatiling mapagbantay at proactive ang mga organisasyon sa kanilang mga panlaban sa cybersecurity.
