Группа кибершпионажа DoNot APT, также известная под различными кодовыми именами, такими как APT-C-35, Mint Tempest и Origami Elephant, продолжает расширять сферу своего влияния, сосредотачивая усилия на министерствах иностранных дел в Европе. Эта активность, выявленная исследователями из Trellix Advanced Research Center, свидетельствует о том, что киберпреступники строят сложные многоуровневые атаки с целью сбора конфиденциальной информации, которая может сыграть значительную роль в международных отношениях и дипломатии. Несмотря на то что DoNot APT ведет операции с 2016 года, недавние инциденты демонстрируют новую фазу развития их тактик и целей, переходя от региональных атак на страны Южной Азии к более агрессивному проникновению в европейские структуры власти. Группа DoNot APT отличается использованием уникального пользовательского вредоносного программного обеспечения, разработанного специально для платформы Windows. Среди таких инструментов наиболее заметными являются бэкдоры YTY и GEdit, которые обычно распространяются посредством целенаправленных фишинговых атак.
В новых кампаниях киберпреступники используют инструмент под названием LoptikMod — троян удалённого доступа, применяемый группой с 2018 года и нацеленный на сбор больших объёмов конфиденциальных данных с заражённых систем. Механизм атаки начинается с отправки тщательно сконструированных фишинговых писем, маскирующихся под официальную переписку представителей оборонных ведомств, с темой, содержащей ссылки на визиты иностранных дипломатов, что добавляет доверия к содержимому сообщения. Подлинность письма подкрепляется использованием соглашений по кодировке UTF-8 и специфического HTML-форматирования, что позволяет корректно отображать специальные символы, например, в слове «Attaché». В письме содержится ссылка на Google Drive, переход по которой ведёт к загрузке зашифрованного RAR-архива. Данный архив включает в себя вредоносный исполняемый файл, замаскированный под файл PDF.
Открытие этого файла на устройстве жертвы автоматически запускает установку трояна LoptikMod, который после внедрения создает устойчивое присутствие на компьютере благодаря планировщику задач в Windows. Этот метод позволяет злонамеренному ПО автоматически запускаться при каждой загрузке системы, что обеспечивает долгосрочный контроль над устройством. После установки троян устанавливает связь с удалённым сервером командования и управления (C2), с которого получает команды и на который отправляет собранные данные. К сожалению, на данный момент C2 сервер обнаруженной кампании находится в неактивном состоянии, что затрудняет точное определение объёма и характера собранной информации, а также списков выполняемых операций. Несмотря на это, анализ кода и поведения LoptikMod указывает на активные функции по сбору системных сведений, загрузке дополнительных модулей и эксфильтрации данных.
Особенностью LoptikMod является использование сложных методов обхода защитных механизмов, таких как антивиртуализация и ASCII-обфускация. Эти техники затрудняют работу исследователей и систем безопасности, замедляя процесс выявления и устранения угрозы. Кроме того, вредоносное ПО запрограммировано на запуск только одной своей копии на инфицированной машине, что предотвращает конфликты и повышает стабильность незаметной работы. Исторически DoNot APT более активно атаковала объекты на территории Южной Азии, включая такие страны, как Пакистан, Шри-Ланка и Бангладеш. Недавний случай, связанный с атакой на министерство иностранных дел европейской страны, указывает на стратегическую переориентацию и расширение зоны интересов группировки.
Это изменение связано с пониманием важности сбора дипломатической разведки в Европе для формирования более широкой аналитической картины внешнеполитических процессов, особенно в отношении взаимодействия Запада и Южной Азии. Уже зафиксированы случаи атак DoNot APT на европейские структуры, в том числе крупная кампания на норвежскую телекоммуникационную компанию в 2016 году, а также атаки на организации в Великобритании. Однако именно использование LoptikMod на уровне министерства иностранных дел в Европе представляет собой новый уровень угроз и свидетельствует о существенно возросших возможностях и ресурсах группы. Внедрение такого вредоносного ПО в дипломатические структуры открывает широкие возможности для отслеживания международных контактов, стратегического планирования и политического влияния. Аналитики Trellix подчеркивают, что активность DoNot APT демонстрирует характерные признаки долгосрочного наблюдения и сбора разведданных, а также цели кибершпионажа.
Применение антивиртуальных и других средств обхода обнаружения говорит о профессиональном уровне разработчиков и о необходимости комплексных стратегия защиты на уровне государственных учреждений. В связи с этим возникает острая необходимость для министерств иностранных дел и других высокорисковых объектов усилить меры кибербезопасности, включая повышение информированности сотрудников, улучшение фильтрации электронной почты и регулярный аудит информационных систем. Обострение интереса DoNot APT к европейским дипломатическим организациям специализируется на уникальных тактиках внедрения вредоносного ПО, адаптации к современным средствам защиты и постоянном обновлении используемых инструментов вредоносного кода. Главным вызовом для кибербезопасности сегодня стала способность выявлять и нейтрализовать подобные целевые атаки с минимальными потерями для информационной целостности и конфиденциальности. В условиях постоянно усложняющегося ландшафта киберугроз, расширяющаяся деятельность DoNot APT с использованием LoptikMod отражает более широкую тенденцию роста атак со стороны группировок, ориентированных на государственный шпионаж.
Постоянное наблюдение, эксфильтрация данных и сохранение тайного доступа делают такие операции крайне опасными по своим последствиям, влияющим не только на информационную безопасность, но и на политические и экономические интересы государств. Опыт показывает, что для эффективного противостояния угрозам, исходящим от таких продвинутых группировок, необходим интегрированный подход, включающий технологические, организационные и правовые меры. Совместная работа международных партнеров в области кибербезопасности и оперативный обмен данными о выявленных угрозах могут значительно снизить риски успешного совершения кибератак и ограничить вред, наносимый национальным и международным структурам. Таким образом, выявленная активность DoNot APT с применением вредоносного ПО LoptikMod представляет собой серьёзный сигнал для европейских и мировых специалистов в области кибербезопасности. Расширение масштабов операций и переход к целенаправленному воздействию на дипломатические организации обостряет необходимость адаптации систем защиты к новым реалиям современного информационного пространства и требует сочетания инновационных технологий с глубоким аналитическим подходом.
Отдельное внимание стоит уделить повышению готовности сотрудников учреждений к распознаванию фишинговых атак и кибератак, так как зачастую именно человеческий фактор становится уязвимым звеном. Внедрение многоуровневой защиты, включая фильтрацию почты, мониторинг сетевой активности и регулярное обновление систем безопасности, должно стать приоритетной задачей для предотвращения повторения инцидентов. Понимание актуальных угроз и изучение методов работы продвинутых киберпреступных групп, таких как DoNot APT, служит ключом к построению надёжных систем защиты и обеспечения устойчивости критически важных инфраструктур в эпоху цифровых вызовов и глобальных геополитических изменений.
