LoptikMod Шкідливе програмне забезпечення
З'явилася нова кампанія, яку приписують групі DoNot APT, демонструючи використання прихованого та стійкого штаму шкідливого програмного забезпечення під назвою LoptikMod. Цей інструмент був використаний у цілеспрямованій атаці на європейське міністерство закордонних справ, що ще раз свідчить про зміщення фокусу групи за межі Південної Азії.
Зміст
Відомий актор загрози з розширенням охоплення
Кампанія була пов'язана з командою DoNot, складною групою розслідування постійних загроз (APT), відомою під різними псевдонімами, включаючи APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 та Viceroy Tiger. Група, яка веде операції щонайменше з 2016 року, має задокументовану історію нападів на урядові установи, міністерства закордонних справ, оборонні структури та неурядові організації, особливо у Південній Азії та Європі.
Історично DoNot APT використовував спеціально створене шкідливе програмне забезпечення, зокрема YTY та GEdit, яке часто розгорталося через фішингові кампанії та шкідливі вкладення документів.
Заманювання цілі: фішинг як точка входу
Атака починається з оманливого фішингового електронного листа, створеного так, щоб він виглядав легітимним та надійним. Ці повідомлення, надіслані з облікового запису Gmail, видають себе за посадовців оборони та містять теми, що стосуються візиту італійського аташе з питань оборони до Дакки, Бангладеш. Примітно, що електронні листи відформатовані за допомогою HTML з кодуванням UTF-8 для правильного відображення спеціальних символів, таких як «é», що підвищує їхню автентичність.
Посилання на Google Диск, вбудоване в електронний лист, веде на завантаження RAR-архіву. Цей архів містить шкідливий виконуваний файл, розроблений для імітації PDF-файлу. Після відкриття виконуваний файл ініціює розгортання LoptikMod, трояна віддаленого доступу (RAT), який був ексклюзивним для DoNot APT щонайменше з 2018 року.
Всередині шкідливого програмного забезпечення LoptikMod
Після запуску LoptikMod вбудовується в хост-систему, використовуючи заплановані завдання для забезпечення постійної роботи. Потім він підключається до віддаленого сервера командування та управління (C2) для виконання різних шкідливих дій. До них належать:
- Надсилання системної інформації назад зловмисникам
- Отримання та виконання додаткових команд
- Завантаження додаткових шкідливих модулів
- Витік конфіденційних даних
Щоб уникнути виявлення та перешкодити судово-медичному аналізу, LoptikMod використовує методи захисту від віртуальних машин (VM) та обфускацію ASCII, що ускладнює для дослідників безпеки аналіз його повної функціональності. Крім того, він гарантує, що на пристрої одночасно працює лише один екземпляр, запобігаючи внутрішнім конфліктам та зменшуючи ймовірність виявлення.
Поточний стан кампанії та інфраструктура
Хоча сам LoptikMod є потужним та стійким, сервер C2, задіяний в останній атаці, наразі неактивний. Ця бездіяльність може означати, що інфраструктуру тимчасово вивели з ладу, назавжди вимкнули або замінили новим, невиявленим сервером.
Неактивний стан сервера обмежує можливості дослідників аналізувати точні команди та дані, якими обмінюються заражені кінцеві точки та зловмисники.
Ознаки стратегічного зсуву: європейські цілі у фокусі
Остання діяльність DoNot APT демонструє ознаки еволюції. Хоча група традиційно зосереджувалася на інтересах Південної Азії, ця нещодавня операція демонструє зростаючий інтерес до європейської дипломатичної розвідки, особливо пов'язаної з Південною Азією.
Цей зсув, ймовірно, свідчить про покращення оперативних можливостей та більш амбітні розвідувальні цілі. Керівники групи можуть шукати інформацію про західні дипломатичні стратегії, оборонну політику та міжнародні відносини з Південною Азією.
Ключові висновки
Щоб ефективно протидіяти таким атакам, організації повинні почати з навчання своїх співробітників розпізнавати спроби фішингу, навіть коли повідомлення здаються цілком легітимними. Так само важливо постійно контролювати системи на наявність будь-якої незвичайної поведінки, такої як неочікувані заплановані завдання або вихідні з’єднання з незнайомими серверами, що може свідчити про компрометацію.
Крім того, впровадження інструментів «пісочниці» та поведінкового аналізу може допомогти виявити та нейтралізувати підозрілі виконувані файли, перш ніж вони завдадуть шкоди. Повне оновлення систем та впровадження найновіших каналів інформації про загрози гарантують оперативне усунення відомих вразливостей. Нарешті, сегментація мережі може значно знизити ризик поширення шкідливого програмного забезпечення в сторону, тим самим ефективніше стримуючи потенційні порушення.
Висновок: Пильність є важливою
Розгортання групою DoNot APT LoptikMod у європейській кампанії кібершпигунства є яскравим нагадуванням про розвиток ландшафту загроз. Оскільки групи APT продовжують удосконалювати свої інструменти та розширювати цільову аудиторію, зокрема, на цінні дипломатичні активи, організації повинні залишатися пильними та проактивними у своєму кіберзахисті.
