Компанія ESET ― лідер у галузі інформаційної безпеки ― повідомляє про виявлення нових інструментів APT-групи Donot Team (також відомої як APT-C-35 та SectorE02). Кіберзлочинці націлені на державні та військові організації, міністерства закордонних справ та посольства, а їх основною метою є шпигунство.
Дослідники ESET відстежували діяльність групи Donot Team з вересня 2020 до жовтня 2021 року. Відповідно до телеметрії ESET, зловмисники зосереджені на невеликій кількості цілей переважно у Південній Азії, зокрема це Бангладеш, Шрі-Ланка, Пакистан та Непал. Також були зафіксовані атаки на посольства цих країн в інших регіонах, таких як Близький Схід, Європа, Північна та Латинська Америка.
Donot Team — це група кіберзлочинців, яка діє щонайменше з 2016 року та відома своїми атаками на організації та окремих осіб у Південній Азії за допомогою шкідливих програм для Windows та Android. За даними звіту Amnesty International, шкідливе програмне забезпечення групи пов'язують з індійською компанією з кібербезпеки, яка може продавати шпигунське ПЗ або пропонувати послуги хакерів державним установам.
«Відстежуючи діяльність Donot Team, ми виявили кілька кампаній, у яких використовувалося шкідливе програмне забезпечення для Windows, створене на базі сигнатурного зловмисного фреймворку «yty» цієї групи», ― коментує дослідник ESET.
Основна мета шкідливого фреймворку «yty» — збір та перехоплення даних. Шкідливий фреймворк складається з ряду завантажувачів, які зрештою завантажують бекдор з мінімальною функціональністю. Також цей фреймфорк використовується для завантаження і виконання подальших компонентів набору програмних засобів Donot Team. До них відносяться інструменти для збору файлів на основі розширення файлу і року створення та для захоплення екрану, а також програми для зчитування натиснень клавіш, зворотній шелл та багато іншого.
Згідно з телеметрією ESET, група кіберзлочинців Donot Team постійно націлювалася на ті самі об'єкти за допомогою цілеспрямованих фішингових листів кожні два-чотири місяці. До цих листів прикріплювались шкідливі документи Microsoft Office, які зловмисники використовують для розгортання зловмисних програм.
«Деякі електронні листи були надіслані з тих самих організацій, які стали жертвою атаки. Можливо, зловмисники скомпрометували облікові записи електронної пошти своїх жертв під час попередніх шкідливих кампаній або поштовий сервер, який використовують ці організації», — коментує дослідник ESET.
Варто зазначити, що дослідники ESET проаналізували два варіанти шкідливого фреймворку «yty» — Gedit та DarkMusical. Один із варіантів назвали DarkMusical через імена, які зловмисники обрали для своїх файлів та папок. Зокрема багато з них є західними знаменитостями або персонажами фільму «Шкільний мюзикл». Цей варіант використовувався в атаках на військові організації у Бангладеші та Непалі.
Більш детальна інформація про групу кіберзлочинців Donot Team та їх атаки доступна за посиланням.
Читайте також:
Критична інфраструктура під прицілом шкідливих фреймворків
Аналіз у хмарній пісочниці: як покращити виявлення загроз
Від інциденту до вирішення: основні кроки протидії та відновлення у випадку кібератаки