Hindistan ile şüpheli olan bir tehdit oyuncusu, bir Avrupa Dışişleri Bakanlığı’nı hedefleyen, tehlikeye atılan ev sahiplerinden hassas veri hasat edebilen kötü amaçlı yazılımları hedefliyor.
Etkinlik, Trellix Advanced Araştırma Merkezi tarafından APT-C-35, Mint Tempest, Origami Elephant, Sector02 ve Viceroy Tiger olarak da bilinen Donot Team adlı Gelişmiş Kalıcı Tehdit (APT) grubuna atfedildi. 2016’dan beri aktif olduğu değerlendirildi.
Trellix araştırmacıları Aniket Choukde, Aparna Aripirala, Alisha Kadam, Akhil Reddy, Pham Duy Phuc ve Alex Lanstein, “Donot APT, YTY ve GEDIT gibi arka kapılar da dahil olmak üzere genellikle mızrak aktı e-postaları veya kötü niyetli belgelerle teslim edildi.” Dedi.
Diyerek şöyle devam etti: “Bu tehdit grubu tipik olarak devlet kuruluşlarını, dışişleri bakanlıklarını, savunma kuruluşlarını ve STK’ları özellikle Güney Asya ve Avrupa’da hedefliyor.”
Saldırı zinciri, alıcıları bir RAR arşivinin indirilmesini tetiklemek için bir Google Drive bağlantısını tıklamayı kandırmayı amaçlayan kimlik avı e -postaları ile başlar, bu da daha sonra grup tarafından sadece 2018 kadar kullanıma sunulan bir kötü amaçlı yazılımın dağıtımının yolunu açar.
Trellix’e göre mesajlar, bir Gmail adresinden kaynaklanıyor ve savunma yetkililerini taklit ediyor, bir İtalyan savunma ataşmanının Bangladeş’e Dakka’ya yaptığı ziyarete atıfta bulunan bir konu satırıyla.
Trellix, “E-postada, ‘é’ gibi özel karakterleri doğru bir şekilde görüntülemek için UTF-8 kodlamasıyla HTML biçimlendirmesi, meşruiyeti artırmak için detaylara dikkat göstererek kullandı.”
E -postalar aracılığıyla dağıtılan RAR arşivi, bir PDF belgesini taklit eden kötü amaçlı bir yürütülebilir, planlanan görevler yoluyla ana bilgisayar üzerinde kalıcılık oluşturabilen ve sistem bilgileri göndermek, daha fazla komut indirmek, ek modüller indirmek ve exfiltrate verileri için uzak bir sunucuya bağlanabilen Loptikmod uzaktan erişim truva atının yürütülmesine neden olan bir kötü amaçlı yürütülebilir.
Ayrıca, sanal ortamlarda yürütmeyi engellemek ve analizden kaçmak için anti-VM teknikleri ve ASCII gizlemesi kullanır, böylece aracın amacını belirlemeyi çok daha zor hale getirir. Ayrıca, saldırı, potansiyel parazitten kaçınmak için kötü amaçlı yazılımların yalnızca bir örneğinin aktif olarak uzlaşmış sistemde çalışmasını sağlar.
Trellix, kampanyada kullanılan komut ve kontrol (C2) sunucusunun şu anda aktif olmadığını, yani altyapının geçici olarak devre dışı bırakıldığını ya da artık işlevsel olmadığını veya tehdit aktörlerinin tamamen farklı bir sunucuya taşındığını söyledi.
C2 sunucusunun aktif olmayan durumu, enfekte uç noktalara iletilen komut kümesini ve yanıt olarak geri gönderilen veri türlerini belirlemenin şu anda mümkün olmadığı anlamına gelir.
Araştırmacılar, “Operasyonları kalıcı sürveyans, veri açığa çıkması ve uzun vadeli erişim ile işaretleniyor, bu da güçlü bir siber casusluk güdüsü öneriyor.” Dedi. “Tarihsel olarak Güney Asya’ya odaklanırken, Avrupa’daki Güney Asya büyükelçiliklerini hedefleyen bu olay, ilgi alanlarının Avrupa diplomatik iletişim ve zekaya yönelik açık bir şekilde genişlediğini gösteriyor.”
Trellix ayrıca Hacker News’e, Donot APT’nin Avrupa kuruluşlarını hedeflemeye gelince, tarihsel olarak Pakistan, Sri Lanka ve Bangladeş gibi Güney Asya ülkelerinde yoğunlaşmasına rağmen yeni bir oyuncu olmadığını söyledi.
“Kanıtlar, bir Norveç telekom şirketine ve İngiltere kurbanlarını belgeleyen 2016 saldırısı da dahil olmak üzere önceki Avrupa hedeflemesini göstermektedir. Ancak, araştırmamız, fırsatçı bir Avrupa hükümet kuruluşuna karşı imza kötü amaçlı yazılımlarının (Loptikmod) ilk belgelenmiş kullanımını temsil ediyor.
“Bu evrim, muhtemelen Güney Asya ile Batı katılımını anlamada Avrupa diplomatik zekasının değerini tanıyan işleyicilerinden gelişmiş operasyonel yetenekleri ve daha geniş zeka görevini öneriyor.”
(Hikaye, yayınlandıktan sonra Trellix’ten bir yanıt içerecek şekilde güncellendi.)