DoNot APT

DoNot, également connu dans la communauté infosec sous les noms APT-C-35 et SectorE02, est un groupe de hackers APT (Advanced Persistent Threat) dont les activités remontent à plusieurs années jusqu'en 2012. Au cours de cette période, le groupe s'est agrandi. ses opérations pour inclure un large éventail de cibles couvrant plusieurs continents - Bangladesh, Thaïlande, Sri Lanka, Philippines, Argentine, Émirats arabes unis et Grande-Bretagne. Dès le début, leur objectif principal est resté sur la région Asie du Sud et le Pakistan, l' Inde et la crise du Cachemire, plus précisément.

La principale spécialisation du groupe est le cyberespionnage et le vol de données. Le DoNot APT utilise un arsenal menaçant composé de ses propres créations d'outils malveillants. La plupart des campagnes impliquent une chaîne d'attachement complexe qui implique plusieurs chargeurs et passe par plusieurs étapes avant la livraison de la charge utile finale du malware. Les pirates DoNot ont également fait preuve d'une capacité à innover et à améliorer leurs outils malveillants, en les dotant constamment de nouvelles fonctionnalités ou en tirant parti de techniques plus sophistiquées.

Dans la plupart de ses attaques, les pirates DoNot APT utilisent des serveurs Command-and-Control (C2, C&C) loués à DigitalOcean, LLC (ASN 14061) et situés à Amsterdam. Pour chaque nouveau nom de domaine, un hôte nouvellement alloué est réservé.

Enchaînement d'attaques complexes impliquant des logiciels malveillants personnalisés

Bien qu'il ne soit pas concluant, il existe suffisamment de preuves circonstancielles que le vecteur de compromis initial du groupe est la diffusion d'e-mails de phishing contenant des documents MS Word au format Office Open XML. Le document initial n'est pas menaçant, mais il abuse de la fonctionnalité de chargement automatique d'éléments externes pour lancer la prochaine étape de la chaîne d'attaque.

Plusieurs chargeurs sont déposés sur le système compromis au cours du processus, chacun étant chargé d'un objectif différent. Par exemple, dans une campagne spécifique, le cheval de Troie Serviceflow.exe a agi comme un chien de garde en collectant et en stockant les informations suivantes : nom d'utilisateur et d'ordinateur, version du système d'exploitation, détails du processeur, \Program Files et \Program Files (86)\ détails du contenu. Il est également responsable du téléchargement et du déploiement des fichiers A64.dll et sinter.exe. Sinter est un autre cheval de Troie, mais sa fonctionnalité est considérablement différente. Il informe les acteurs de la menace de l'infection en cours en envoyant une demande à une URL spécifique tout en exfilrant les informations collectées sur le système compromis vers « skillsnew[.]top ». Les informations sont destinées à aider les pirates à déterminer si la cible mérite d'être exploitée davantage.

Développement constant d'outils malveillants

L'APT DoNot a démontré à de nombreuses reprises qu'il continue de se concentrer sur l'itération et l'amélioration. Les efforts sont facilement visibles dans les différentes versions de chargeurs employés par le groupe. Dans les versions précédentes, avant la mi-2018, toutes les chaînes utilisées étaient stockées en clair, tandis que dans les versions suivantes, différents niveaux de cryptage avaient commencé à être introduits :

• Mai 2018 - encodé en Base64
• Avril 2019 - double encodage Base64
• Janvier 2019 - chiffrement avec l'algorithme AES en mode CBS suivi d'un encodage Base64.
• Juin 2019 - soustraction circulaire symbole par symbole avec le tableau d'octets défini, encodage avec UTF-8, suivi d'un encodage Base64
• Octobre 2019 - XOR modifié circulaire symbole par symbole avec le tableau d'octets défini, suivi d'un double codage Base64

Dans la dernière opération observée menée par le DoNot APT, le groupe a déployé un nouveau chargeur de logiciels malveillants Android nommé Firestarter Trojan. La menace de malware a été conçue pour abuser d'un service légitime appelé Firebase Cloud Messaging (FCM), fourni par une filiale de Google. Le service représente une solution cloud multiplateforme pour les messages et les notifications pour Android, iOS et d'autres applications Web.

Le chargeur Firestarter a exploité le FCM comme méthode de communication avec ses serveurs C2. L'utilisation d'un service efficace rend la détection du trafic anormal d'autant plus difficile, car il est mélangé avec les autres communications normales générées.