DoNot APT

DoNot，在信息安全社區中也被稱為 APT-C-35 和 SectorE02，是一個高級持續威脅 (APT) 黑客組織，其活動可以追溯到幾年前的 2012 年。在此期間，該組織不斷擴大其業務涵蓋了跨越幾大洲的廣泛目標——孟加拉國、泰國、斯里蘭卡、菲律賓、阿根廷、阿拉伯聯合酋長國和英國。從一開始，他們的主要精力仍然在南亞地區與巴基斯坦，印度和克什米爾危機，更具體。

該組織的主要專長是進行網絡間諜活動和數據竊取。 DoNot APT 使用由其自己的惡意軟件工具創建組成的威脅性武器庫。大多數活動都涉及一個複雜的附加鏈，該鏈涉及多個加載程序，並在交付最終惡意軟件負載之前經歷多個階段。 DoNot 黑客還展示了創新和改進其惡意軟件工具的能力，不斷為其配備新功能或利用更複雜的技術。

在大多數攻擊中，DoNot APT 黑客使用從 DigitalOcean, LLC (ASN 14061) 租用並位於阿姆斯特丹的命令和控制（C2、C&C）服務器。對於每個新域名，都會保留一個新分配的主機。

涉及自定義惡意軟件的複雜攻擊鏈

雖然不是決定性的，但有足夠的間接證據表明該組織最初的入侵媒介是傳播帶有 Office Open XML 格式的 MS Word 文檔的網絡釣魚電子郵件。初始文檔沒有威脅，但它濫用外部元素的自動加載功能來啟動攻擊鏈的下一階段。

在此過程中，有幾個加載程序被放到受感染的系統上，每個加載程序都有不同的目標。例如，在特定活動中，Serviceflow.exe 木馬充當看門狗，收集和存儲以下信息 - 用戶和計算機名稱、操作系統版本、處理器詳細信息、 \Program Files和\Program Files (86)\內容詳細信息。它還負責下載和部署 A64.dll 和 sinter.exe 文件。 Sinter 是另一種木馬，但其功能卻大不相同。它通過向特定 URL 發送請求來通知威脅行為者當前的感染情況，同時還將收集的有關受感染系統的信息洩露到"skillsnew[.]top"。該信息旨在幫助黑客確定目標是否值得進一步利用。

惡意軟件工具的不斷發展

DoNot APT 已多次證明其對迭代和改進的持續關注。在該組使用的不同加載程序版本中可以很容易地看到這些努力。在早期版本中，在 2018 年年中之前，所有使用的字符串都以明文形式存儲，而在後續版本中，開始引入各種級別的加密：

• 2018 年 5 月 - 使用 Base64 編碼
• 2019 年 4 月 - 雙 Base64 編碼
• 2019 年 1 月 - 在 CBS 模式下使用 AES 算法加密，然後是 Base64 編碼。
• 2019 年 6 月 - 使用設置的字節數組逐個符號進行循環減法，使用 UTF-8 編碼，然後是 Base64 編碼
• 2019 年 10 月 - 逐個符號循環修改 XOR 與設置的字節數組，然後是雙 Base64 編碼

在 DoNot APT 進行的最新觀察到的操作中，該組織部署了一個名為Firestarter Trojan的新 Android 惡意軟件加載程序。該惡意軟件威脅旨在濫用由 Google 的子公司提供的名為 Firebase Cloud Messaging (FCM) 的合法服務。該服務代表適用於 Android、iOS 和其他 Web 應用程序的消息和通知的跨平台雲解決方案。

Firestarter 加載程序利用 FCM 作為與其 C2 服務器的通信方法。使用有效服務會使檢測異常流量變得更加困難，因為它與正在生成的其他正常通信混合在一起。