DoNot APT

DoNot，在信息安全社区中也被称为 APT-C-35 和 SectorE02，是一个高级持续威胁 (APT) 黑客组织，其活动可以追溯到几年前的 2012 年。在此期间，该组织不断扩大其业务涵盖了跨越几大洲的广泛目标——孟加拉国、泰国、斯里兰卡、菲律宾、阿根廷、阿拉伯联合酋长国和英国。从一开始，他们的主要重点仍然是南亚地区、巴基斯坦、印度和克什米尔危机，更具体地说。

该组织的主要专长是进行网络间谍活动和数据窃取。 DoNot APT 使用由其自己的恶意软件工具创建组成的威胁性武器库。大多数活动都涉及一个复杂的附加链，该链涉及多个加载程序，并在交付最终恶意软件负载之前经历多个阶段。 DoNot 黑客还展示了创新和改进其恶意软件工具的能力，不断为其配备新功能或利用更复杂的技术。

在大多数攻击中，DoNot APT 黑客使用从 DigitalOcean, LLC (ASN 14061) 租用并位于阿姆斯特丹的命令和控制（C2、C&C）服务器。对于每个新域名，都会保留一个新分配的主机。

涉及自定义恶意软件的复杂攻击链

虽然不是决定性的，但有足够的间接证据表明该组织最初的入侵媒介是传播带有 Office Open XML 格式的 MS Word 文档的网络钓鱼电子邮件。最初的文件没有威胁性，但它滥用外部元素的自动加载功能来启动攻击链的下一阶段。

在此过程中，有几个加载程序被放到受感染的系统上，每个加载程序都有不同的目标。例如，在特定活动中，Serviceflow.exe 木马充当看门狗，收集和存储以下信息 - 用户和计算机名称、操作系统版本、处理器详细信息、 \Program Files和\Program Files (86)\内容详细信息。它还负责下载和部署 A64.dll 和 sinter.exe 文件。 Sinter 是另一种木马，但其功能却大不相同。它通过向特定 URL 发送请求来通知威胁行为者当前的感染情况，同时还将收集的有关受感染系统的信息泄露到"skillsnew[.]top"。该信息旨在帮助黑客确定目标是否值得进一步利用。

恶意软件工具的不断发展

DoNot APT 已多次证明其对迭代和改进的持续关注。在该组使用的不同加载程序版本中可以很容易地看到这些努力。在早期版本中，在 2018 年年中之前，所有使用的字符串都以明文形式存储，而在后续版本中，开始引入各种级别的加密：

• 2018 年 5 月 - 使用 Base64 编码
• 2019 年 4 月 - 双 Base64 编码
• 2019 年 1 月 - 在 CBS 模式下使用 AES 算法加密，然后是 Base64 编码。
• 2019 年 6 月 - 使用设置的字节数组逐个符号进行循环减法，使用 UTF-8 编码，然后是 Base64 编码
• 2019 年 10 月 - 逐个符号循环修改与设置的字节数组的异或，然后是双 Base64 编码

在 DoNot APT 进行的最新观察到的操作中，该组织部署了一个名为Firestarter Trojan的新 Android 恶意软件加载程序。该恶意软件威胁旨在滥用由 Google 的子公司提供的名为 Firebase Cloud Messaging (FCM) 的合法服务。该服务代表适用于 Android、iOS 和其他 Web 应用程序的消息和通知的跨平台云解决方案。

Firestarter 加载程序利用 FCM 作为与其 C2 服务器的通信方法。使用有效服务会使检测异常流量变得更加困难，因为它与正在生成的其他正常通信混合在一起。