DoNot APT

Infosec topluluğunda APT-C-35 ve SectorE02 olarak da bilinen DoNot, faaliyetleri birkaç yıl öncesine kadar 2012'ye kadar izlenebilen bir Gelişmiş Kalıcı Tehdit (APT) hacker grubudur. Bu süre zarfında grup genişledi. operasyonları Bangladeş, Tayland, Sri Lanka, Filipinler, Arjantin, Birleşik Arap Emirlikleri ve Büyük Britanya gibi birkaç kıtayı kapsayan geniş bir hedef yelpazesini kapsayacak şekilde. En başından beri, onların ana odak Güney Asya bölgesi ve Pakistan, Hindistan ve daha spesifik olarak Keşmir kriz, üzerinde kalmıştır.

Grubun ana uzmanlığı, siber casusluk ve veri hırsızlığı yapmaktır. DoNot APT, kendi kötü amaçlı yazılım aracı oluşturmalarından oluşan tehditkar bir cephanelik kullanır. Çoğu kampanya, birkaç yükleyici içeren ve son kötü amaçlı yazılım yükünün teslim edilmesinden önce birden çok aşamadan geçen karmaşık bir bağlantı zinciri içerir. DoNot bilgisayar korsanları ayrıca, kötü amaçlı yazılım araçlarını sürekli olarak yeni işlevlerle donatarak veya daha karmaşık tekniklerden yararlanarak yenilik yapma ve iyileştirme becerisi sergilediler.

Saldırılarının çoğunda, DoNot APT bilgisayar korsanları DigitalOcean, LLC'den (ASN 14061) kiralanan ve Amsterdam'da bulunan Komuta ve Kontrol (C2, C&C) sunucularını kullanır. Her yeni alan adı için yeni tahsis edilen bir ana bilgisayar rezerve edilir.

Özel Kötü Amaçlı Yazılım İçeren Karmaşık Saldırı Zincirleme

Kesin olmamakla birlikte, grubun ilk güvenlik açığı vektörünün Office Open XML biçiminde MS Word belgeleri taşıyan kimlik avı e-postalarının yayılması olduğuna dair yeterli koşullu kanıt var. İlk belge tehdit edici değildir, ancak saldırı zincirinin bir sonraki aşamasını başlatmak için harici öğelerin otomatik yükleme işlevini kötüye kullanır.

İşlem sırasında, her biri farklı bir görevle görevlendirilen birkaç yükleyici, güvenliği ihlal edilmiş sisteme bırakılır. Örneğin, belirli bir kampanyada Serviceflow.exe Truva Atı, kullanıcı ve bilgisayar adı, işletim sistemi sürümü, işlemci ayrıntıları, \Program Dosyaları ve \Program Dosyaları (86)\ içerik ayrıntıları gibi bilgileri toplayan ve depolayan bir bekçi görevi gördü. A64.dll ve sinter.exe dosyalarının indirilmesinden ve dağıtılmasından da sorumludur. Sinter başka bir Truva atıdır, ancak işlevselliği önemli ölçüde farklıdır. Belirli bir URL'ye bir istek göndererek tehdit aktörlerini mevcut enfeksiyon hakkında bilgilendirirken, güvenliği ihlal edilmiş sistem hakkında toplanan bilgileri 'beceriler yeni[.]top'a aktarır. Bilgiler, bilgisayar korsanlarının hedefin daha fazla sömürülmeye değer olup olmadığını belirlemesine yardımcı olmayı amaçlamaktadır.

Kötü Amaçlı Yazılım Araçlarının Sürekli Gelişimi

DoNot APT, birçok kez yineleme ve iyileştirmeye odaklanmaya devam ettiğini göstermiştir. Bu çabalar, grup tarafından kullanılan farklı yükleyici versiyonlarında kolayca görülebilir. Önceki sürümlerde, 2018'in ortasından önce, kullanılan tüm dizeler açık metinde saklanırken, sonraki sürümlerde çeşitli şifreleme seviyeleri sunulmaya başlandı:

• Mayıs 2018 - Base64 ile kodlanmış
• Nisan 2019 - çift Base64 kodlaması
• Ocak 2019 - CBS modunda AES algoritması ve ardından Base64 kodlaması ile şifreleme.
• Haziran 2019 - belirlenen bayt dizisiyle sembol-sembol dairesel çıkarma, UTF-8 ile kodlama ve ardından Base64 kodlaması
• Ekim 2019 - çift Base64 kodlamasının izlediği bayt dizisiyle XOR simge bazında dairesel olarak değiştirildi

DoNot APT tarafından gerçekleştirilen en son gözlemlenen operasyonda grup, Firestarter Trojan adlı yeni bir Android kötü amaçlı yazılım yükleyicisi yerleştirdi. Kötü amaçlı yazılım tehdidi, Google'ın bir yan kuruluşu tarafından sağlanan Firebase Cloud Messaging (FCM) adlı meşru bir hizmeti kötüye kullanmak için tasarlandı. Hizmet, Android, iOS ve diğer Web uygulamaları için mesajlar ve bildirimler için platformlar arası bir bulut çözümünü temsil eder.

Firestarter yükleyici, C2 sunucularıyla bir iletişim yöntemi olarak FCM'den yararlandı. Etkili bir hizmetin kullanılması, üretilen diğer normal iletişimlerle karıştırıldığından, anormal trafiğin tespit edilmesini çok daha zor hale getirir.