Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

DoNot APT: современные угрозы и методы кибершпионажа 2016–2024

1
3 мин
Оглавление

Группа DoNot APT: новые вызовы кибершпионажа в Европе

С 2016 года группировка DoNot APT, также известная под псевдонимами APT-C-35 и Mint Tempest, ведёт активную деятельность в сфере кибершпионажа, спонсируемого государством. Изначально ориентированная на Южную Азию, сегодня эта группа демонстрирует расширение своих геополитических интересов, включая европейский регион, в особенности дипломатические структуры.

Цели и методы деятельности DoNot APT

Основными целями DoNot APT являются:

  • правительственные учреждения,
  • оборудовательные организации,
  • НПО, работающие в Южной Азии и Европе.

Группа отличается использованием собственных, кастомизированных вредоносных программ для Windows, таких как бэкдоры YTY и GEdit. Для доставки зловредов применяются фишинговые электронные письма и вредоносные документы.

Последняя кампания: фишинговая атака на европейское министерство иностранных дел

Недавняя кампания DoNot APT демонстрирует высокий уровень изощрённости и адаптивности тактик. В фокусе атаки оказалось одно из европейских министерств иностранных дел, куда было отправлено фишинговое письмо с учетной записи Gmail, маскирующейся под адреса европейских чиновников министерства обороны.

Особенности атаки:

  • Тема письма была связана с дипломатическим визитом в Бангладеш.
  • В письме содержалась ссылка на RAR-архив SyClrLtr.rar, размещённый на Google Диске.
  • При извлечении архива обнаруживался исполняемый файл notflog.exe, замаскированный под PDF-документ.
  • Этот файл связан с вредоносной программой LoptikMod, разработанной группой.

Вредоносное ПО:

  • Запускает пакетный файл из архива RAR.
  • Устанавливает постоянство с помощью запланированной задачи PerformTaskMaintain, выполняющейся каждые 10 минут.
  • Обеспечивает регулярную связь с сервером управления (C2).
  • Собирает сведения о системе жертвы.
  • Шифрует данные с помощью AES и отправляет их на сервер C2 через HTTPS.

Технические детали и особенности защиты

LoptikMod использует комплекс методов обфускации для затруднения анализа и обнаружения, включая:

  • строковое кодирование,
  • антивируализацию — защиту от анализа в изолированных (sandbox) средах.

Замечательно, что злоумышленники воспользовались популярным облачным сервисом Google Drive для распространения вредоносного ПО, что позволяет обходить многие стандартные фильтры безопасности. Этот факт свидетельствует о том, что группа прекрасно адаптируется и расширяет свои методы в соответствии с современными тенденциями.

Влияние и рекомендации по защите

Рассмотренная кампания свидетельствует о расширении зон интересов DoNot APT за пределы Южной Азии — теперь европейские дипломатические коммуникации находятся в зоне их внимания. Это вызывает серьёзную озабоченность для госструктур и международных организаций.

Для противодействия подобным угрозам рекомендуется:

  • повысить безопасность электронной почты через современные решения для фильтрации спама и фишинга,
  • проводить регулярное обучение сотрудников методам выявления и предотвращения фишинговых атак,
  • осуществлять мониторинг сетевого трафика на предмет необычных исходящих соединений,
  • развёртывать решения EDR (Endpoint Detection and Response) для обнаружения и реагирования на угрозы,
  • регулярно обновлять операционные системы и прикладные программы, минимизируя уязвимости.

Дополнительно важны совместный обмен данными об угрозах между организациями и блокирование известных IOC (Indicators of Compromise) на уровне брандмауэра и прокси-сервера. Это позволит повысить устойчивость к меняющимся тактикам и инструментам групп подобных DoNot APT.

Таким образом, современный ландшафт киберугроз требует постоянного внимания и проактивных мер со стороны государственных и частных структур, чтобы эффективно противостоять целенаправленным атакам и сохранять безопасность стратегически важных данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "DoNot APT: современные угрозы и методы кибершпионажа 2016–2024".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Взгляните на эти темы
Гаджеты и электроника
Машинное обучение (Machine Learning)
Найти тему
Социальные сети и мессенджеры
Технологии будущего
Технологии в социальной сфере
Технологии в медицине
Языки программирования
Мобильная разработка
Системное администрирование
IT (информационные технологии)
Нейронные сети (Neural Networks)
Кибербезопасность
Форум «Цифровые решения»
Технологии в финансах
Интернет вещей (IoT)
Робототехника
Нанотехнологии
Веб-разработка
Разработка игр
Интернет
Гаджеты и электроника
5,73 млн интересуются