Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Advanced Persistent Threat (APT) Không APT

Không APT

Đến năm GoldSparrow năm Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

DoNot, còn được biết đến trong cộng đồng infosec với cái tên APT-C-35 và SectorE02, là một nhóm tin tặc Mối đe dọa liên tục nâng cao (APT) có các hoạt động có thể được theo dõi từ vài năm trước đến năm 2012. Trong khoảng thời gian đó, nhóm này đã mở rộng. hoạt động của nó bao gồm một loạt các mục tiêu trải dài trên một số châu lục - Bangladesh, Thái Lan, Sri Lanka, Philippines, Argentina, Các Tiểu vương quốc Ả Rập Thống nhất và Anh. Ngay từ khi bắt đầu, trọng tâm chính của họ vẫn là trên khu vực Nam Á và Pakistan, Ấn Độ, và cuộc khủng hoảng Kashmir, cụ thể hơn.

Chuyên môn chính của nhóm là thực hiện hoạt động gián điệp mạng và đánh cắp dữ liệu. DoNot APT sử dụng kho vũ khí đe dọa bao gồm các sáng tạo công cụ phần mềm độc hại của riêng nó. Hầu hết các chiến dịch liên quan đến một chuỗi đính kèm phức tạp bao gồm một số trình tải và trải qua nhiều giai đoạn trước khi phân phối tải trọng phần mềm độc hại cuối cùng. Tin tặc DoNot cũng thể hiện khả năng đổi mới và cải tiến các công cụ phần mềm độc hại của họ, liên tục trang bị cho chúng các chức năng mới hoặc tận dụng các kỹ thuật phức tạp hơn.

Trong hầu hết các cuộc tấn công, tin tặc DoNot APT sử dụng máy chủ Command-and-Control (C2, C&C) được thuê từ DigitalOcean, LLC (ASN 14061) và đặt tại Amsterdam. Đối với mỗi tên miền mới, một máy chủ mới được cấp phát đang được bảo lưu.

Tấn công phức tạp Chaing liên quan đến phần mềm độc hại tùy chỉnh

Mặc dù không có kết luận chính xác, nhưng có đủ bằng chứng tình huống cho thấy vectơ thỏa hiệp ban đầu của nhóm là việc phổ biến các email lừa đảo mang tài liệu MS Word ở định dạng Office Open XML. Tài liệu ban đầu không đe dọa, nhưng nó lạm dụng chức năng tự động tải của các phần tử bên ngoài để bắt đầu giai đoạn tiếp theo của chuỗi tấn công.

Một số bộ tải được đưa vào hệ thống bị xâm phạm trong quá trình này, mỗi bộ được giao nhiệm vụ với một mục tiêu khác nhau. Ví dụ: trong một chiến dịch cụ thể, Trojan Serviceflow.exe hoạt động như một cơ quan giám sát thu thập và lưu trữ thông tin sau - tên người dùng và máy tính, phiên bản hệ điều hành, chi tiết bộ xử lý, chi tiết nội dung \ Program Files \ Program Files (86) \. Nó cũng chịu trách nhiệm tải xuống và triển khai các tệp A64.dll và sinter.exe. Sinter là một Trojan khác, nhưng chức năng của nó khác đáng kể. Nó thông báo cho các tác nhân đe dọa về sự lây nhiễm hiện tại bằng cách gửi yêu cầu đến một URL cụ thể đồng thời lọc thông tin thu thập được về hệ thống bị xâm nhập lên 'skillsnew [.] Top. " Thông tin này nhằm giúp tin tặc xác định xem mục tiêu có xứng đáng để khai thác thêm hay không.

Phát triển liên tục các công cụ phần mềm độc hại

DoNot APT đã nhiều lần chứng minh sự tập trung liên tục vào việc lặp lại và cải tiến. Có thể dễ dàng nhận thấy những nỗ lực này trong các phiên bản trình tải khác nhau mà nhóm sử dụng. Trong các phiên bản trước đó, trước giữa năm 2018, tất cả các chuỗi đã sử dụng được lưu trữ dưới dạng văn bản rõ ràng, trong khi ở các phiên bản tiếp theo, các cấp độ mã hóa khác nhau đã bắt đầu được giới thiệu:

  • Tháng 5 năm 2018 - được mã hóa bằng Base64
  • Tháng 4 năm 2019 - mã hóa Base64 kép
  • Tháng 1 năm 2019 - mã hóa bằng thuật toán AES ở chế độ CBS, sau đó là mã hóa Base64.
  • Tháng 6 năm 2019 - phép trừ vòng tròn từng ký hiệu với tập hợp các byte, mã hóa bằng UTF-8 và theo sau là mã hóa Base64
  • Tháng 10 năm 2019 - XOR được sửa đổi theo vòng tròn ký hiệu theo từng ký hiệu với dãy byte được thiết lập, theo sau là mã hóa Base64 kép

Trong hoạt động được quan sát mới nhất do DoNot APT thực hiện, nhóm đã triển khai một trình tải phần mềm độc hại Android mới có tên Firestarter Trojan . Mối đe dọa phần mềm độc hại được thiết kế để lạm dụng một dịch vụ hợp pháp có tên là Nhắn tin qua đám mây Firebase (FCM), do một công ty con của Google cung cấp. Dịch vụ đại diện cho một giải pháp đám mây đa nền tảng cho các tin nhắn và thông báo cho Android, iOS và các ứng dụng Web khác.

Trình tải Firestarter đã khai thác FCM như một phương thức giao tiếp với các máy chủ C2 của nó. Việc sử dụng một dịch vụ hiệu quả làm cho việc phát hiện lưu lượng truy cập bất thường khó hơn nhiều, vì nó được kết hợp với các thông tin liên lạc thông thường khác đang được tạo ra.

xu hướng

Lừa đảo qua email 'YouPorn'

Spam
Sau khi kiểm tra kỹ lưỡng các email 'YouPorn', các chuyên gia an ninh mạng đã xác nhận bản chất lừa đảo của chúng. Những email này là một phần của nhiều biến thể thư rác khác nhau, tất cả đều giống với các chiến thuật phân tích sextortion. Chủ đề chung trong số các email lừa đảo này là khẳng định bịa đặt rằng người nhận có liên quan đến tài liệu khiêu dâm được đăng gần đây trên trang...

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
14,963
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...