ESET Research исследует команду Donot: кибершпионаж, нацеленный на военных и правительства в Южной Азии

БРАТИСЛАВА, МОНРЕАЛЬ — 18 января 2022 года — Исследователи ESET раскрыли недавние кампании и обновленный арсенал угроз печально известной команды APT group Donot (также известной как APT-C-35 и SectorE02). Согласно результатам исследований, группа очень настойчива и последовательно нацелена на одни и те же организации, по крайней мере, последние два года. Для этого исследования ESET контролировала команду Donot более года с сентября 2020 по октябрь 2021 года. Согласно телеметрии ESET, APT group фокусируется на небольшом количестве целей в основном в Южной Азии — Бангладеш, Шри-Ланке, Пакистане и Непале. Однако нацеливание на посольства этих стран в других регионах, таких как Ближний Восток, Европа, Северная Америка и Латинская Америка, не выходит за рамки группы. Эти атаки сосредоточены на правительственных и военных организациях, министерствах иностранных дел и посольствах и мотивированы кибершпионажем. 

-ESET проанализировала два варианта вредоносного фреймворка yty: Gedit и DarkMusical. Исследователи ESET решили назвать один из вариантов DarkMusical, потому что многие имена, которые злоумышленники выбрали для своих файлов и папок, вдохновлены фильмом High School Musical.

-Эти атаки сосредоточены на правительственных и военных организациях, министерствах иностранных дел и посольствах и мотивированы кибершпионажем.

-Цели в основном расположены в Южной Азии – Бангладеш, Шри-Ланке, Пакистане и Непале. Однако наблюдалось нацеливание на посольства этих стран в других регионах, таких как Ближний Восток, Европа, Северная Америка и Латинская Америка.

-Расследование ESET охватывает более года с сентября 2020 по октябрь 2021 года.

-Недавний отчет Amnesty International связывает вредоносное ПО группы с индийской компанией по кибербезопасности, которая может продавать шпионское ПО.

-Группа последовательно нацеливалась на одни и те же организации, по крайней мере, последние два года, и вполне возможно, что злоумышленники скомпрометировали учетные записи электронной почты некоторых своих жертв.

Команда Donot-это субъект угрозы, действующий по крайней мере с 2016 года, который известен тем, что нацеливает организации и отдельных лиц в Южной Азии на вредоносное ПО Windows и Android. Недавний отчет Amnesty International связывает вредоносное ПО группы с индийской компанией по кибербезопасности, которая может продавать шпионское ПО или предлагать услуги хакеров по найму правительствам региона.

“Мы внимательно следили за деятельностью команды Donot и проследили несколько кампаний, в которых используются вредоносные программы Windows, полученные из сигнатурной платформы yty Malware группы”, - говорит исследователь ESET Факундо Муньос, который руководил расследованием деятельности группы.

Основной целью вредоносной платформы “yty” является сбор и извлечение данных. Вредоносная структура состоит из цепочки загрузчиков, которые в конечном итоге загружают бэкдор с минимальной функциональностью, используемый для загрузки и выполнения дальнейших компонентов набора инструментов команды Donot. К ним относятся сборщики файлов на основе расширения файла и года создания, захватчики экрана, кейлоггеры, обратные оболочки и многое другое.

Страны, нацеленные на недавние кампании команды Donot

Согласно телеметрии ESET, команда Donot последовательно нацеливается на одни и те же объекты с волнами фишинговых писем каждые два - четыре месяца. К письмам spearphishing прикреплены вредоносные документы Microsoft Office, которые злоумышленники используют для развертывания своих вредоносных программ.

Интересно, что электронные письма, которые исследователи ESET смогли получить и проанализировать, не показали признаков подмены. “Некоторые электронные письма были отправлены из тех же организаций, которые подвергались нападению. Возможно, что злоумышленники могли скомпрометировать учетные записи электронной почты некоторых своих жертв в более ранних кампаниях или почтовый сервер, используемый этими организациями”, - говорит Муньос.

В последнем блоге ESET проанализировала два варианта вредоносного фреймворка yty: Gedit и DarkMusical. Исследователи ESET решили назвать один из вариантов DarkMusical из-за имен, которые злоумышленники выбрали для своих файлов и папок: многие из них-западные знаменитости или персонажи фильма High School Musical. Этот вариант использовался в кампаниях, нацеленных на военные организации в Бангладеш и Непале.

Материал подготовлен -  ESET NOD32