Mehrgerätelizenzen (Mengenrabatte)
Threat Database Advanced Persistent Threat (APT) DoNot APT

DoNot APT

Von GoldSparrow in Advanced Persistent Threat (APT)
Übersetzen Sie in:
Deutsch

DoNot, auch bekannt in der infosec-Community als APT-C-35 und SectorE02, ist eine Advanced Persistent Threat (APT)-Gruppe von Hackern, deren Aktivitäten mehrere Jahre bis ins Jahr 2012 zurückverfolgt werden können. In dieser Zeit hat sich die Gruppe erweitert und seine Operationen umfassen eine breite Palette von Zielen auf mehreren Kontinenten - Bangladesch, Thailand, Sri Lanka, die Philippinen, Argentinien, die Vereinigten Arabischen Emirate und Großbritannien. Von Anfang an, bleibt ihr Hauptaugenmerk auf der Region Südasien, Pakistan, Indien und die Kaschmir - Krise, genauer gesagt.

Die Hauptspezialisierung der Gruppe ist die Durchführung von Cyberspionage und Datendiebstahl. Das DoNot APT verwendet ein bedrohliches Arsenal, das aus seinen eigenen Malware-Tool-Kreationen besteht. Die meisten Kampagnen beinhalten eine komplexe Attach-Chain, die mehrere Loader umfasst und mehrere Phasen durchläuft, bevor die endgültige Malware-Nutzlast bereitgestellt wird. Die DoNot-Hacker haben auch die Fähigkeit bewiesen, ihre Malware-Tools zu innovieren und zu verbessern, sie ständig mit neuen Funktionen auszustatten oder ausgefeiltere Techniken zu nutzen.

Bei den meisten ihrer Angriffe verwenden die DoNot APT-Hacker Command-and-Control (C2, C&C)-Server, die von DigitalOcean, LLC (ASN 14061) gemietet wurden und sich in Amsterdam befinden. Für jeden neuen Domänennamen wird ein neu zugewiesener Host reserviert.

Komplexe Angriffsverkettung mit benutzerdefinierter Malware

Obwohl nicht schlüssig, gibt es genügend Indizien dafür, dass der anfängliche Kompromissvektor der Gruppe die Verbreitung von Phishing-E-Mails mit MS Word-Dokumenten im Office Open XML-Format ist. Das ursprüngliche Dokument ist nicht bedrohlich, aber es missbraucht die Autoloading-Funktionalität externer Elemente, um die nächste Stufe der Angriffskette einzuleiten.

Während des Prozesses werden mehrere Loader auf dem kompromittierten System abgelegt, von denen jeder ein anderes Ziel hat. In einer bestimmten Kampagne fungierte der Trojaner Serviceflow.exe beispielsweise als Watchdog, der die folgenden Informationen sammelt und speichert: Benutzer- und Computername, Betriebssystemversion, Prozessordetails, \Programme und \Programme (86)\ Inhaltsdetails. Es ist auch für das Herunterladen und Bereitstellen der Dateien A64.dll und sinter.exe verantwortlich. Sinter ist ein weiterer Trojaner, aber seine Funktionalität unterscheidet sich erheblich. Es informiert die Bedrohungsakteure über die aktuelle Infektion, indem es eine Anfrage an eine bestimmte URL sendet und gleichzeitig die über das kompromittierte System gesammelten Informationen nach 'skillsnew[.]top' exfiltriert. Die Informationen sollen den Hackern helfen, festzustellen, ob das Ziel einer weiteren Ausbeutung würdig ist.

Ständige Entwicklung von Malware-Tools

Das DoNot APT hat bei zahlreichen Gelegenheiten seinen anhaltenden Fokus auf Iteration und Verbesserung unter Beweis gestellt. Der Aufwand lässt sich gut an den verschiedenen Lader-Versionen des Konzerns ablesen. In den früheren Versionen, vor Mitte 2018, wurden alle verwendeten Strings im Klartext gespeichert, während in den folgenden Versionen mit der Einführung verschiedener Verschlüsselungsstufen begonnen wurde:

  • Mai 2018 - kodiert mit Base64
  • April 2019 - doppelte Base64-Kodierung
  • Januar 2019 - Verschlüsselung mit dem AES-Algorithmus im CBS-Modus gefolgt von der Base64-Kodierung.
  • Juni 2019 - Symbol-für-Symbol-Kreissubtraktion mit dem eingestellten Byte-Array, Codierung mit UTF-8, gefolgt von Base64-Codierung
  • Oktober 2019 - Symbol für Symbol zirkuläres modifiziertes XOR mit dem eingestellten Array von Bytes, gefolgt von doppelter Base64-Codierung

Bei der letzten beobachteten Operation, die von DoNot APT durchgeführt wurde, hat die Gruppe einen neuen Android-Malware-Loader namens Firestarter Trojan bereitgestellt. Die Malware-Bedrohung wurde entwickelt, um einen legitimen Dienst namens Firebase Cloud Messaging (FCM) zu missbrauchen, der von einer Tochtergesellschaft von Google bereitgestellt wird. Der Dienst stellt eine plattformübergreifende Cloud-Lösung für Nachrichten und Benachrichtigungen für Android, iOS und andere Webanwendungen dar.

Der Firestarter-Loader nutzte FCM als Kommunikationsmethode mit seinen C2-Servern. Die Verwendung eines effektiven Dienstes erschwert die Erkennung des anormalen Verkehrs, da er mit den anderen normalen erzeugten Kommunikationen vermischt wird.

Im Trend

Am häufigsten gesehen

Wird geladen...