Не APT

DoNot, також відомий у співтоваристві infosec як APT-C-35 і SectorE02, є групою хакерів Advanced Persistent Threat (APT), чию діяльність можна простежити кілька років тому аж до 2012 року. За цей період група розширилася її операції включають широкий спектр цілей, що охоплюють кілька континентів - Бангладеш, Таїланд, Шрі-Ланку, Філіппіни, Аргентину, Об'єднані Арабські Емірати та Великобританію. З самого початку їх основна увага зосередилася на регіоні Південної Азії та Пакистану, Індії та Кашмірській кризі , точніше.

Основна спеціалізація групи — кібершпигунство та крадіжка даних. DoNot APT використовує арсенал загроз, що складається з власних інструментів шкідливого програмного забезпечення. Більшість кампаній включають складний ланцюжок приєднання, який включає кілька завантажувачів і проходить кілька етапів перед доставкою остаточного корисного навантаження шкідливого програмного забезпечення. Хакери DoNot також продемонстрували здатність впроваджувати інновації та вдосконалювати свої інструменти шкідливого програмного забезпечення, постійно оснащуючи їх новими функціями або користуючись перевагами більш складних методів.

У більшості своїх атак хакери DoNot APT використовують сервери командування й керування (C2, C&C), орендовані у DigitalOcean, LLC (ASN 14061) і розташовані в Амстердамі. Для кожного нового доменного імені резервується знову виділений хост.

Комплексна атака атак із використанням спеціального зловмисного програмного забезпечення

Хоча це не остаточно, є достатньо непрямих доказів того, що початковим компромісним вектором групи є розповсюдження фішингових листів, що містять документи MS Word у форматі Office Open XML. Початковий документ не є загрозливим, але він зловживає функціями автозавантаження зовнішніх елементів, щоб ініціювати наступний етап ланцюга атаки.

Під час процесу на скомпрометовану систему потрапляє кілька завантажувачів, кожен з яких має іншу мету. Наприклад, у певній кампанії троян Serviceflow.exe виконував роль сторожового механізму, який збирав і зберігав таку інформацію – ім’я користувача та комп’ютера, версію ОС, деталі процесора, відомості про \Program Files та \Program Files (86)\ . Він також відповідає за завантаження та розгортання файлів A64.dll і sinter.exe. Sinter — це ще один троян, але його функціональність істотно відрізняється. Він інформує суб’єктів загрози про поточне зараження, надсилаючи запит на певну URL-адресу, а також передає зібрану інформацію про зламану систему на «skillsnew[.]top». Ця інформація має на меті допомогти хакерам визначити, чи гідна мета подальшої експлуатації.

Постійний розвиток шкідливих програм

DoNot APT неодноразово демонстрував свою постійну зосередженість на ітерації та вдосконаленні. Зусилля можна легко побачити в різних версіях навантажувачів, які використовує група. У попередніх версіях до середини 2018 року всі використовувані рядки зберігалися у відкритому тексті, тоді як у наступних версіях почали вводитися різні рівні шифрування:

• Травень 2018 року – закодовано за допомогою Base64
• Квітень 2019 – подвійне кодування Base64
• Січень 2019 року – шифрування за алгоритмом AES в режимі CBS з подальшим кодуванням Base64.
• Червень 2019 р. – кругове віднімання символ за символом із заданим масивом байтів, кодування UTF-8, а потім кодування Base64
• Жовтень 2019 р. – циркулярне змінене XOR із заданим масивом байтів, за яким слідує подвійне кодування Base64

Під час останньої спостережуваної операції, проведеної DoNot APT, група розгорнула новий завантажувач шкідливих програм для Android під назвою Firestarter Trojan . Загроза зловмисного програмного забезпечення була розроблена для зловживання законною службою Firebase Cloud Messaging (FCM), наданою дочірньою компанією Google. Сервіс являє собою кросплатформне хмарне рішення для повідомлень і сповіщень для Android, iOS та інших веб-додатків.

Завантажувач Firestarter використовував FCM як спосіб зв’язку зі своїми серверами C2. Використання ефективної служби значно ускладнює виявлення ненормального трафіку, оскільки він змішується з іншими нормальними повідомленнями, що генеруються.