ESET повідомив про виявлення нових інструментів APT-групи Donot Team
Компанія ESET оголошує про відкриття нових інструментів APT для команди Donot
ESET повідомляє про відкриття нових інструментів від Donot Team APT (також відомих як APT-C-35 і SectorE02). Кіберзлочинці націлені на державні та військові організації, міністерства закордонних справ та посольства, і їх головною метою є шпигунство.
Дослідники ESET відстежували діяльність команди Donot з вересня 2020 року по жовтень 2021 року. За даними телеметрії ESET, нападники зосереджені на невеликій кількості цілей переважно в Південній Азії, зокрема Бангладеш, Шрі-Ланці, Пакистані та Непалі. Також були зафіксовані напади на посольства цих країн в інших регіонах, таких як Близький Схід, Європа, Північна і Латинська Америка.
Donot Team - це група кіберзлочинців, яка працює як мінімум з 2016 року і відома своїми атаками на організації та приватних осіб в Південній Азії за допомогою шкідливого програмного забезпечення для Windows і Android. Згідно зі звітом Amnesty International, шкідливе програмне забезпечення групи пов'язане з індійською компанією з кібербезпеки, яка може продавати шпигунське програмне забезпечення або пропонувати послуги злому державним установам.
«Під час відстеження діяльності donot Team ми виявили кілька кампаній, в яких використовувалося шкідливе програмне забезпечення для Windows, створене на основі фірмового шкідливого фреймворку «yty» цієї групи», - коментує дослідник ESET.
Основне призначення шкідливих рамок «yty» - це збір і перехоплення даних. Шкідливий фреймворк складається з ряду завантажувачів, які в кінцевому підсумку завантажують бекдор з мінімальним функціоналом. Цей фреймворк також використовується для завантаження та виконання компонентів інструментарію Donot Team. До них відносяться інструменти для збору файлів на основі розширення файлів і року створення, захоплення екрану, а також зчитувачі натискання клавіш, зворотна оболонка і багато іншого.
Згідно з телеметрією ESET, команда кіберзлочинців Команди Донот постійно націлювалася на одні й ті ж цілі за допомогою цільових фішингових електронних листів кожні два-чотири місяці. До цих повідомлень електронної пошти додаються шкідливі документи Microsoft Office, які зловмисники використовують для розгортання зловмисного програмного забезпечення.
"Деякі електронні листи були відправлені від тих же організацій, які стали жертвами атаки. Можливо, зловмисники скомпрометували облікові записи електронної пошти своїх жертв під час попередніх шкідливих кампаній або поштового сервера, яким користуються ці організації" , - коментує дослідник ESET.
Слід зазначити, що дослідники ESET проаналізували два варіанти шкідливого фреймворку «yty» – Gedit і DarkMusical. Один з варіантів отримав назву DarkMusical через імен, які зловмисники вибрали для своїх файлів і папок. Зокрема, багато хто з них є західними знаменитостями або персонажами фільму «Шкільний мюзикл». Цей варіант використовувався при нападах на військові організації в Бангладеш і Непалі.
