Компания ESET – лидер в области информационной безопасности – сообщает об обнаружении новых инструментов APT-группы Donot Team (также известной как APT-C-35 и SectorE02). Киберпреступники нацелены на государственные и военные организации, министерства иностранных дел и посольства, а их основной целью является шпионаж.
Исследователи ESET отслеживали деятельность группы Donot Team с сентября 2020 до октября 2021 года. Согласно телеметрии ESET, злоумышленники сосредоточены на небольшом количестве целей в основном в Южной Азии, в частности это Бангладеш, Шри-Ланка, Пакистан и Непал. Также были зафиксированы атаки на посольства этих стран в других регионах, таких как Ближний Восток, Европа, Северная и Латинская Америка.
Donot Team — это группа киберпреступников, которая действует как минимум с 2016 года и известна своими атаками на организации и отдельных лиц в Южной Азии с помощью вредоносных программ для Windows и Android. По данным отчета Amnesty International, вредоносное программное обеспечение группы связывают с индийской компанией по кибербезопасности, которая может продавать шпионское ПО или предлагать хакерские услуги государственным учреждениям.
«Отслеживая деятельность Donot Team, мы обнаружили несколько кампаний, в которых использовалось вредоносное программное обеспечение для Windows, созданное на базе сигнатурного вредоносного фреймворка «yty» этой группы», ― комментирует исследователь ESET.
Рис. 1. Последовательность действий киберпреступников на примере DarkMusic.
Основная цель вредоносного фреймворка «yty» – сбор и перехват данных. Вредоносный фреймворк состоит из ряда загрузчиков, которые в конечном итоге скачивают бэкдор с минимальной функциональностью. Также этот фреймфорк используется для загрузки и выполнения компонентов набора программных средств Donot Team. К ним относятся инструменты для сбора файлов на основе расширения файла и года создания, захвата экрана, а также программы для считывания нажатий клавиш, обратный шелл и многое другое.
Согласно телеметрии ESET, группа киберпреступников Donot Team постоянно нацеливалась на те же объекты с помощью целенаправленных фишинговых писем каждые два-четыре месяца. К этим письмам прикреплены вредоносные документы Microsoft Office, которые злоумышленники используют для развертывания вредоносных программ.
«Некоторые электронные письма были отправлены из тех же организаций, которые стали жертвой атаки. Возможно, злоумышленники скомпрометировали аккаунты электронной почты своих жертв во время предыдущих вредоносных кампаний или почтовый сервер, который используют эти организации», — комментирует исследователь ESET.
Следует отметить, что исследователи ESET проанализировали два варианта вредоносного фреймворка «yty» — Gedit и DarkMusical. Один из вариантов назвали DarkMusical из-за имен, которые злоумышленники выбрали для своих файлов и папок. В частности, многие из них являются западными знаменитостями или персонажами фильма «Школьный мюзикл». Этот вариант использовался в атаках на военные организации в Бангладеш и Непал.
Более подробная информация о группе киберпреступников Donot Team и их атаках доступна по ссылке.
Читайте также:
Критическая инфраструктура под прицелом вредоносных фреймворков
Анализ в облачной песочнице: как улучшить обнаружение угроз
От инцидента к решению: основные шаги противодействия и возобновления в случае кибератаки