Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi publicerad i Zero Day den 19 januari , 2022 | Ämne: Säkerhet
Forskare har avslöjat Donot Teams inre funktioner, en hotgrupp som kommer att träffa samma mål i flera år om det är vad som krävs för att lyckas.
Även känd som APT-C-35 och SectorE02, Electronic Frontier Foundation (EFF) har tidigare knutit Donot Team till Innefu Labs, ett indiskt “cybersäkerhetsföretag” som säger sig arbeta med regeringen.
Enligt EFF verkar Innefu Labs inte utföra “human right due diligence” på kunder och dess övervakningslösningar, “trots de enorma risker deras produkter utgör för civilsamhället.”
Donot Team har varit aktivt sedan åtminstone 2016 och tenderar att fokusera på ett litet antal mål i asiatiska länder, inklusive Bangladesh, Sri Lanka, Pakistan och Nepal. Enheter inklusive lokala myndigheter, ambassader, militära enheter och utrikesministerier finns på offerlistan.
Även om gruppen APT (Advanced Persistent Hot) tenderar att stanna inom detta geografiska område, har Donot Team också spårats till attacker mot ambassader i Mellanöstern, Latinamerika, Nordamerika och Europa.
Donot Team-gruppmedlemmar utnyttjar ett anpassat “yty” ramverk för skadlig programvara i attacker. Skadlig programvara som används är lämplig för Windows-maskiner och Android-telefoner.
Det som gör denna APT intressant är dess konsekvens och hur uthålliga Donot Team kan vara. Enligt ESET-forskare kommer gruppen ständigt att hamra på ett målnätverk, i vissa fall i flera år, tills de har hittat en väg in.
“Det är inte en sällsynthet att APT-operatörer försöker återfå åtkomst till ett komprometterat nätverk efter att de har kastats ut från det”, säger ESET. “I vissa fall uppnås detta genom utplacering av en smygande bakdörr som förblir tyst tills angriparna behöver den; i andra fall startar de helt enkelt om sin verksamhet med ny skadlig programvara eller en variant av skadlig programvara de använde tidigare. Den senare är fall med Donot Team-operatörer, bara att de är anmärkningsvärt ihärdiga i sina försök.”
Cybersäkerhetsforskarna säger att nätfiskemail kommer att skickas varannan till var fjärde månad till samma mål. Denna konsekvens, som syftar till att locka en anställd att öppna en skadlig Office-bilaga, uppnåddes inte genom spoofing; istället verkar det som att intrångade e-postkonton – eller övergripande e-postservrar – som erhållits i tidigare kampanjer används för att utföra ytterligare nätfiskeförsök.
Om ett offer öppnar en bilaga är de i riskzonen genom skadliga makron eller .RTF-filer med .doc-tillägg som innehåller en exploatering för CVE-2017-11882, ett minnesfel i Microsoft Office som leder till fjärrkörning av kod (RCE).
Dessutom innehåller .RTF:erna inbäddade .DLL:er som kan användas för att ladda ner ytterligare skadliga komponenter och för att distribuera skalkod.
Skalkoden används för att leverera DarkMusical och Gedit malware. DarkMusical består av en kedja av nedladdare och droppare, vilket leder till lanseringen av en grundläggande bakdörr med uppgift att hantera kommando-och-kontroll (C2) serverkommunikation, fil & skapande av mappar och dataexfiltrering.
Gedit är också kopplat till yty-ramverket. Denna variant av skadlig programvara laddar ner komponenter för att bibehålla persistens – till exempel genom schemalagda uppgifter – och innehåller även omvända skalfunktioner, skärmdumpsfunktioner och kan samla in och stjäla filer.
“Donot Team kompenserar för sin låga sofistikering med envishet”, säger ESET. “Vi förväntar oss att den kommer att fortsätta driva på oavsett dess många motgångar. Bara tiden kommer att utvisa om gruppen utvecklar sina nuvarande TTP:er och skadlig programvara.”
Tidigare och relaterad bevakning
Ny avancerad hackningsgrupp riktar sig till regeringar, ingenjörer över hela världen
Aquatic Panda infiltrerade akademisk institution genom Log4j-sårbarhet, säger CrowdStrike
Kinesiska APT LuminousMoth missbrukar Zoom-varumärket för att rikta sig till regeringen inte byråer
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter