Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi udgivet i Zero Day den 19. januar , 2022 | Emne: Sikkerhed
Forskere har afsløret de indre funktioner i Donot Team, en trusselgruppe, der vil ramme de samme mål i årevis, hvis det er det, der skal til for at få succes.
Også kendt som APT-C-35 og SectorE02, har Electronic Frontier Foundation (EFF) tidligere knyttet Donot Team til Innefu Labs, en indisk 'cybersikkerhedsvirksomhed', der hævder at arbejde med regeringen.
Ifølge EFF ser Innefu Labs ikke ud til at udføre “menneskerettigheder due diligence” på kunder og deres overvågningsløsninger, “på trods af de enorme risici, deres produkter udgør for civilsamfundet.”
Donot Team har været aktivt siden mindst 2016 og har en tendens til at fokusere på et lille antal mål i asiatiske lande, herunder Bangladesh, Sri Lanka, Pakistan og Nepal. Enheder inklusive lokale regeringsafdelinger, ambassader, militærenheder og udenrigsministerier er på offerlisten.
Mens gruppen med avanceret vedvarende trussel (APT) har en tendens til at blive inden for dette geografiske område, er Donot Team også blevet sporet til angreb mod ambassader i Mellemøsten, Latinamerika, Nordamerika og Europa.
Donot Team-gruppemedlemmer udnytter en tilpasset “yty” malwareramme i angreb. Malware i brug er velegnet til Windows-maskiner og Android-håndsæt.
Det, der gør denne APT interessant, er dens konsistens og hvor vedholdende Donot Team kan være. Ifølge ESET-forskere vil gruppen konstant hamre på et målnetværk, i nogle tilfælde i årevis, indtil de har fundet en vej ind.
“Det er ikke en sjældenhed for APT-operatører at forsøge at genvinde adgang til et kompromitteret netværk, efter at de er blevet smidt ud fra det,” siger ESET. “I nogle tilfælde opnås dette gennem udrulning af en mere skjult bagdør, der forbliver stille, indtil angriberne har brug for det; i andre tilfælde genstarter de simpelthen deres drift med ny malware eller en variant af den malware, de tidligere brugte. Sidstnævnte er tilfældet med Donot Team-operatører, kun at de er bemærkelsesværdigt vedholdende i deres forsøg.”
Cybersikkerhedsforskerne siger, at phishing-e-mails vil blive sendt hver anden til fjerde måned til de samme mål. Denne konsistens, som har til formål at lokke en medarbejder til at åbne en ondsindet Office-vedhæftet fil, blev ikke opnået gennem spoofing; i stedet ser det ud til, at kompromitterede e-mail-konti – eller overordnede e-mail-servere – opnået i tidligere kampagner bruges til at udføre yderligere phishing-forsøg.
Hvis et offer åbner en vedhæftet fil, er de i fare gennem ondsindede makroer eller .RTF-filer med .doc-udvidelser, der indeholder en udnyttelse af CVE-2017-11882, en fejl i Microsoft Office-hukommelse, der fører til fjernudførelse af kode (RCE).
Derudover indeholder .RTF'erne indlejrede .DLL'er, der kan bruges til at downloade yderligere ondsindede komponenter og til at implementere shellcode.
Shellkoden bruges til at levere DarkMusical og Gedit malware. DarkMusical består af en kæde af downloadere og droppere, hvilket fører til lanceringen af en grundlæggende bagdør, der har til opgave at håndtere kommando-og-kontrol (C2) serverkommunikation, fil & mappeoprettelse og dataeksfiltrering.
Gedit er også forbundet med yty-rammen. Denne malware-variant downloader komponenter for at opretholde persistens – såsom gennem planlagte opgaver – og indeholder også reverse shell-funktioner, screenshot-funktionalitet og er i stand til at indsamle og stjæle filer.
“Donot Team kompenserer for sin lave sofistikering med vedholdenhed,” siger ESET. “Vi forventer, at den vil fortsætte med at skubbe på uanset sine mange tilbageslag. Kun tiden vil vise, om gruppen udvikler sine nuværende TTP'er og malware.”
Tidligere og relateret dækning
Ny avanceret hackergruppe retter sig mod regeringer, ingeniører over hele verden
Aquatic Panda infiltrerede akademisk institution gennem Log4j-sårbarhed, siger CrowdStrike
Kinesiske APT LuminousMoth misbruger Zoom-mærket for at målrette mod regering 't bureauer
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre