Главная страница » IOC
0
2 года
IOC

DoNot APT IOCs

security

Команда CYFIRMA недавно получила подозрительные приложения для Android, размещенные в Google Play Store под учетной записью "SecurITY Industry". Дальнейший технический анализ показал, что приложение имеет характеристики вредоносного ПО и принадлежит печально известной группе Advanced Persistent Threat Group; "DoNot", которая недавно атаковала людей в регионе Кашмир.

DoNot APT

В недавнем наблюдении CYFIRMA обнаружили, что DoNot APT использует полезную нагрузку Android против лиц в регионе Пакистана, однако до сих пор неизвестно, что побуждает его наносить киберудары в регионе Южной Азии. Технический анализ показывает, что мотивом атаки является сбор информации с помощью полезной нагрузки stager и использование собранной информации для второго этапа атаки с использованием вредоносного ПО с более разрушительными функциями.

Команда CYFIRMA получила приложения для Android, размещенные в Google Play Store, которые использовались против отдельных лиц в регионе Пакистана. Приложения были размещены под учетной записью под названием "SecurITY Industry" в Google Play Store.

Всего было размещено три приложения Android с названиями Device Basic Plus, nSure Chat и iKHfaa VPN, причем два из них имели вредоносные характеристики - nSure Chat и iKHfaa VPN. Угроза использовала чистые и невинные библиотеки Android и заставляла их получать контакты и местоположение скомпрометированной жертвы.

iKHfaa VPN скопировала свой код у настоящего поставщика услуг VPN и внедрила дополнительные библиотеки для тихого выполнения вредоносных действий. Обычно VPN-приложения не используют разрешения на определение местоположения и контактов для работы VPN-приложения. Это наименее необходимые разрешения для работы VPN-приложений. Все эти подозрительные находки заставили CYFIRMA копнуть глубже, и после тщательного технического анализа мы установили, что виновником является DoNot. Дальнейший технический анализ выявил тактику, использованную субъектом угрозы для развертывания полезной нагрузки Android в Google Play Store, чтобы нацелить ее на жертв в Южно-Азиатском регионе.

После установки iKHfaa VPN появляется сообщение с просьбой включить разрешение на определение местоположения.

Страница "О нас" также отражает плохую модификацию приложения, так как содержание "О нас" отображает фактическое название приложения. При переходе на страницу чата приложение просит пользователя предоставить разрешение на контакт.

После прохода страницы регистрации/записи появляется страница, позволяющая пользователю войти и зарегистрироваться в приложении для общения.

iKHfaa VPN содержал строки кода, похожие на подлинное приложение Liberty VPN, и агент угрозы внес изменения, внедрив легитимные библиотеки Android, чтобы заставить приложение действовать вредоносно и получать контакты и точное местоположение жертв. Библиотеки RoomDB и Retrofit были добавлены для хранения данных и получения контактов и точного местоположения на командно-контрольный веб-сервер, который также выступает в качестве официального сайта приложения.

Приложение использует клиентскую библиотеку Retrofit HTTP для взаимодействия с https[:]ikhfaavpn[.]com. Retrofit отвечает за взаимодействие приложений Android с веб-сервисом, API и внутренними серверами. В данном случае ikhfaavpn[.] выступал в качестве официального сайта iKHfaa VPN, а также выполнял функцию командно-контрольного пункта, который получал данные о местоположении и контактах устройства.

После захвата живого трафика из nSure Chat CYFIRMA обнаружили, что связь между приложением и портом 4000, настроенным на домен, шифруется с помощью letsencrypt, который обеспечивает безопасность шифрования HTTP-запросов.

После проведения тщательного анализа образцов, с умеренным уровнем достоверности, CYFIRMA подтвердили, что аккаунт магазина Google Play связан с APT DoNot, так как на нем размещены приложения для Android, обладающие вредоносными характеристиками. Кроме того, CYFIRMA обнаружили зашифрованные строки, использующие алгоритм AES/CBC/PKCS5PADDING. Код также обфусцирован с помощью Proguard. Интересно, что текстовый файл, создаваемый приложением Android, имеет то же имя, что и текстовый файл в ранее использовавшейся вредоносной программе для Android от DoNot, для локального хранения данных. Эти методы шифрования ранее использовались APT DoNot в их предыдущем образце Android. Эти технические находки в совокупности позволяют нам отнести эти образцы к группе APT DoNot.

Indicators of Compromise

IPv4

  • 193.149.176.226

Domains

  • Ikhfaavpn.com

Domain Port Combinations

  • Appnsure.com:4000
  • Appnsure.com:9090

SHA256

  • eaed560a605374fe23317c1c37bbd05383ceec09ff83975b989e4c5d612fc039
  • ee9900ef830539d113a8bcc0c7b4dd981c3fd61868319c9fe9491465bcaf4661
Комментарии: 0
Похожие записи
0
2 дня
IOC

Кампания CrazyHunter нацелена на критически важные секторы экономики Тайваня

security
Группа вымогателей CrazyHunter стала серьезной угрозой для организаций в Тайване, особенно в сферах здравоохранения, образования и промышленности. Они используют сложные техники, такие как метод "принеси
0
4 дня
IOC

Slow Pisces нацелился на разработчиков с проблемами кодирования и представил новое специализированное вредоносное ПО на Python

security
Slow Pisces - это северокорейская киберпреступная группа, спонсируемая государством КНДР. Они в основном занимаются кражей криптовалюты, нападая на крупные организации в криптовалютном секторе.