DoNot APT

情報セキュリティコミュニティではAPT-C-35およびSectorE02としても知られているDoNotは、ハッカーのAdvanced Persistent Threat（APT）グループであり、その活動は数年前から2012年までさかのぼることができます。バングラデシュ、タイ、スリランカ、フィリピン、アルゼンチン、アラブ首長国連邦、英国など、いくつかの大陸にまたがる幅広いターゲットを含むように事業を展開しています。当初から、彼らの主な焦点は南アジア地域とパキスタン、インド、そしてより具体的にはカシミール危機にとどまっています。

このグループの主な専門分野は、サイバースパイとデータの盗難を行うことです。 DoNot APTは、独自のマルウェアツールの作成で構成される脅威的な武器を使用します。ほとんどのキャンペーンには、複数のローダーが関与し、最終的なマルウェアペイロードが配信される前に複数の段階を経る複雑な接続チェーンが含まれます。 DoNotハッカーは、マルウェアツールを革新および改善し、常に新しい機能を装備したり、より高度な技術を利用したりする能力も示しています。

ほとんどの攻撃では、DoNot APTハッカーは、アムステルダムにあるDigitalOcean、LLC（ASN 14061）からレンタルされたコマンドアンドコントロール（C2、C＆C）サーバーを使用します。新しいドメイン名ごとに、新しく割り当てられたホストが予約されています。

カスタムマルウェアを含む複雑な攻撃の追跡

決定的なものではありませんが、グループの最初の侵害ベクトルがOffice OpenXML形式のMSWord文書を含むフィッシングメールの拡散であるという十分な状況証拠があります。最初のドキュメントは脅威ではありませんが、外部要素の自動読み込み機能を悪用して、攻撃チェーンの次の段階を開始します。

プロセス中に複数のローダーが侵害されたシステムにドロップされ、それぞれが異なる目的でタスクを実行します。たとえば、特定のキャンペーンでは、Serviceflow.exeトロイの木馬は、ユーザー名とコンピューター名、OSバージョン、プロセッサの詳細、 \ ProgramFilesおよび\ Program Files（86）\コンテンツの詳細を収集および保存するウォッチドッグとして機能しました。また、A64.dllファイルとsinter.exeファイルのダウンロードと展開も担当します。シンターは別のトロイの木馬ですが、その機能は大きく異なります。侵害されたシステムに関して収集された情報を「skillsnew [。] top」に盗み出すと同時に、特定のURLにリクエストを送信することで、現在の感染について脅威アクターに通知します。この情報は、ハッカーがターゲットをさらに悪用する価値があるかどうかを判断するのに役立つことを目的としています。

マルウェアツールの絶え間ない開発

DoNot APTは、反復と改善に継続的に焦点を当てていることを何度も示してきました。この取り組みは、グループで採用されているさまざまなローダーバージョンで簡単に確認できます。以前のバージョンでは、2018年半ば以前は、使用された文字列はすべてクリアテキストで保存されていましたが、後続のバージョンでは、さまざまなレベルの暗号化が導入され始めました。

• 2018年5月-Base64でエンコード
• 2019年4月-ダブルBase64エンコーディング
• 2019年1月-CBSモードでのAESアルゴリズムによる暗号化とそれに続くBase64エンコーディング。
• 2019年6月-バイトのセット配列を使用したシンボルごとの循環減算、UTF-8でのエンコード、その後のBase64エンコード
• 2019年10月-バイト配列が設定されたシンボルごとの循環修正XORと、それに続くダブルBase64エンコーディング

DoNot APTによって実施された最新の観察された操作では、グループはFirestarter Trojanという名前の新しいAndroidマルウェアローダーを展開しました。マルウェアの脅威は、Googleの子会社が提供するFirebase Cloud Messaging（FCM）と呼ばれる正規のサービスを悪用するように設計されています。このサービスは、Android、iOS、およびその他のWebアプリケーションのメッセージと通知のためのクロスプラットフォームクラウドソリューションを表しています。

Firestarterローダーは、C2サーバーとの通信方法としてFCMを利用しました。効果的なサービスを使用すると、生成されている他の通常の通信と混ざり合うため、異常なトラフィックの検出がはるかに困難になります。