LoptikMod惡意軟體
一項歸因於 DoNot APT 組織的新攻擊活動浮出水面,展示了其使用名為 LoptikMod 的隱密且持久的惡意軟體。該工具已被用於針對歐洲外交部的定向攻擊,進一步表明該組織已將重點轉向南亞以外的地區。
目錄
已知威脅行為者,且影響範圍不斷擴大
這次攻擊活動與 DoNot 團隊有關,該團隊是一個複雜的高級持續性威脅 (APT) 組織,擁有多個別名,包括 APT-C-35、Mint Tempest、Origami Elephant、SECTOR02 和 Viceroy Tiger。該組織的活動至少可以追溯到 2016 年,有記錄顯示其曾針對政府機構、外交部、國防實體和非政府組織發動攻擊,尤其是在南亞和歐洲。
從歷史上看,DoNot APT 曾使用客製化惡意軟體,特別是 YTY 和 GEdit,通常透過魚叉式網路釣魚活動和惡意文件附件部署。
引誘目標:以網路釣魚為切入點
攻擊始於一封偽裝成合法可信的欺騙性釣魚郵件。這些郵件透過 Gmail 帳戶發送,冒充國防官員,郵件主題提到了義大利國防武官訪問孟加拉國達卡的訊息。值得注意的是,這些郵件採用 HTML 格式,並使用 UTF-8 編碼,以正確顯示「é」等特殊字符,從而增強了其真實性。
電子郵件中嵌入的 Google Drive 連結會引導使用者下載一個 RAR 壓縮包。該壓縮包包含一個旨在模仿 PDF 檔案的惡意可執行檔。開啟後,該可執行檔會啟動 LoptikMod 的部署。 LoptikMod 是一種遠端存取木馬 (RAT),至少自 2018 年以來一直由 DoNot APT 獨家營運。
LoptikMod惡意軟體內部
一旦執行,LoptikMod 就會利用排程任務嵌入到主機系統中,以實現持久化。然後,它會連接到遠端命令與控制 (C2) 伺服器,執行各種惡意活動。這些活動包括:
- 將系統訊息發回給攻擊者
- 接收並執行附加命令
- 下載額外的惡意模組
- 外洩敏感數據
為了規避檢測並阻礙取證分析,LoptikMod 使用了反虛擬機器 (VM) 技術和 ASCII 混淆技術,使安全研究人員難以解析其全部功能。此外,它確保每個設備在任何時候都只運行一個實例,從而防止內部衝突並降低檢測的可能性。
目前競選狀態和基礎設施
雖然 LoptikMod 本身功能強大且持久,但最近一次攻擊中涉及的 C2 伺服器目前處於非活動狀態。這種非活動狀態可能意味著基礎設施已被暫時下線、永久關閉或被新的、未被發現的伺服器取代。
伺服器的非活動狀態限制了研究人員分析受感染端點和攻擊者之間交換的確切命令和資料的能力。
戰略轉變跡象:聚焦歐洲目標
DoNot APT 的最新活動顯示出演變的跡象。儘管該組織傳統上專注於南亞利益,但最近的行動表明其對歐洲外交情報(尤其是與南亞相關的情報)的興趣日益濃厚。
這項轉變可能顯示其行動能力增強,情報目標也更加雄心勃勃。該組織的幕僚可能正在尋求了解西方的外交戰略、國防政策以及與南亞的國際合作。
關鍵要點
為了有效緩解此類攻擊,組織應先培訓員工識別網路釣魚攻擊,即使郵件看似合法。同樣重要的是持續監控系統是否存在任何異常行為,例如意外的計劃任務或與陌生伺服器的出站連接,這些都可能預示著系統遭到入侵。
此外,實施沙盒和行為分析工具有助於在可疑可執行文件造成危害之前檢測並清除它們。保持系統全面修補並整合最新的威脅情報來源,可確保已知漏洞得到及時修復。最後,對網路進行分段可以顯著降低惡意軟體橫向傳播的風險,從而更有效地遏制潛在的漏洞。
結論:保持警覺至關重要
DoNot APT 組織在歐洲網路間諜活動中部署 LoptikMod,這充分證明了威脅情勢的不斷演變。隨著 APT 組織不斷增強其工具並擴大攻擊範圍,尤其是針對高價值外交資產,各組織必須保持警惕,並積極主動地進行網路安全防禦。
