Licencias para múltiples dispositivos (descuentos por volumen)
Threat Database Advanced Persistent Threat (APT) DoNot APT

DoNot APT

Por GoldSparrow en Advanced Persistent Threat (APT)
Traducir a:
Español

DoNot, también conocido en la comunidad infosec como APT-C-35 y SectorE02, es un grupo de piratas informáticos de amenazas persistentes avanzadas (APT) cuyas actividades se remontan a varios años atrás hasta 2012. Durante ese período, el grupo se ha expandido sus operaciones incluirán una amplia gama de objetivos que abarcan varios continentes: Bangladesh, Tailandia, Sri Lanka, Filipinas, Argentina, los Emiratos Árabes Unidos y Gran Bretaña. Desde el principio, su enfoque principal se ha mantenido en la región del sur de Asia y Pakistán, India y la crisis de Cachemira , más específicamente.

La principal especialización del grupo es la realización de ciberespionaje y robo de datos. El DoNot APT utiliza un arsenal amenazante compuesto por sus propias creaciones de herramientas de malware. La mayoría de las campañas involucran una compleja cadena de adjuntos que involucra a varios cargadores y pasa por múltiples etapas antes de la entrega de la carga útil final del malware. Los piratas informáticos DoNot también han demostrado su capacidad para innovar y mejorar sus herramientas de malware, equipándolos constantemente con nuevas funcionalidades o aprovechando técnicas más sofisticadas.

En la mayoría de sus ataques, los piratas informáticos DoNot APT utilizan servidores de Comando y Control (C2, C&C) alquilados a DigitalOcean, LLC (ASN 14061) y ubicados en Ámsterdam. Para cada nuevo nombre de dominio, se reserva un nuevo host asignado.

Cadenas de ataques complejos que involucran software malicioso personalizado

Si bien no es concluyente, existe suficiente evidencia circunstancial de que el vector de compromiso inicial del grupo es la difusión de correos electrónicos de phishing que contienen documentos de MS Word en formato Office Open XML. El documento inicial no es amenazante, pero abusa de la funcionalidad de carga automática de elementos externos para iniciar la siguiente etapa de la cadena de ataque.

Varios cargadores se colocan en el sistema comprometido durante el proceso, cada uno con un objetivo diferente. Por ejemplo, en una campaña específica, el troyano Serviceflow.exe actuó como un perro guardián que recopila y almacena la siguiente información: usuario y nombre de la computadora, versión del sistema operativo, detalles del procesador, \ Archivos de programa y \ Archivos de programa (86) \ detalles del contenido. También es responsable de descargar e implementar los archivos A64.dll y sinter.exe. Sinter es otro troyano, pero su funcionalidad es significativamente diferente. Informa a los actores de la amenaza sobre la infección actual mediante el envío de una solicitud a una URL específica y, al mismo tiempo, extrae la información recopilada sobre el sistema comprometido a 'skillsnew [.] Top'. La información está destinada a ayudar a los piratas informáticos a determinar si el objetivo es digno de una mayor explotación.

Desarrollo constante de herramientas de malware

DoNot APT ha demostrado en numerosas ocasiones su enfoque continuo en la iteración y la mejora. Los esfuerzos se pueden ver fácilmente en las diferentes versiones de cargadoras empleadas por el grupo. En las versiones anteriores, antes de mediados de 2018, todas las cadenas utilizadas se almacenaban en texto sin cifrar, mientras que en las versiones posteriores, se habían comenzado a introducir varios niveles de cifrado:

  • Mayo de 2018: codificado con Base64
  • Abril de 2019: codificación doble Base64
  • Enero de 2019: cifrado con el algoritmo AES en modo CBS seguido de codificación Base64.
  • Junio de 2019: resta circular símbolo por símbolo con la matriz de bytes establecida, codificación con UTF-8 y seguida de codificación Base64
  • Octubre de 2019: XOR circular modificado símbolo por símbolo con el conjunto de bytes, seguido de doble codificación Base64

En la última operación observada realizada por DoNot APT, el grupo implementó un nuevo cargador de malware para Android llamado Firestarter Trojan. La amenaza de malware fue diseñada para abusar de un servicio legítimo llamado Firebase Cloud Messaging (FCM), proporcionado por una subsidiaria de Google. El servicio representa una solución en la nube multiplataforma para mensajes y notificaciones para Android, iOS y otras aplicaciones web.

El cargador Firestarter aprovechó FCM como método de comunicación con sus servidores C2. El uso de un servicio eficaz hace que la detección del tráfico anormal sea mucho más difícil, ya que se mezcla con las demás comunicaciones normales que se generan.

Tendencias

Mas Visto

Cargando...