Οι ερευνητές έχουν αποκαλύψει τις εσωτερικές λειτουργίες της Donot Team, μιας ομάδας απειλών που χτυπά τους ίδιους στόχους για χρόνια, αν αυτό είναι που χρειάζεται για να πετύχει.
Δείτε επίσης: Σημαντική αύξηση των malware που στόχευσαν Linux μηχανήματα το 2021
Το Electronic Frontier Foundation (EFF) έχει συνδέσει στο παρελθόν την Donot Team (γνωστή και ως APT-C-35 και SectorE02) με την Innefu Labs, μια ινδική εταιρεία «κυβερνοασφάλειας» που ισχυρίζεται ότι συνεργάζεται με την κυβέρνηση.
Σύμφωνα με το EFF, η Innefu Labs δεν φαίνεται να είναι ιδιαίτερα προσεκτική με τα ανθρώπινα δικαιώματα των πελατών της.
Η Donot Team που είναι ενεργή τουλάχιστον από το 2016 τείνει να επικεντρών εται σε μικρό αριθμό στόχων σε ασιατικές χώρες, όπως το Μπαγκλαντές, η Σρι Λάνκα, το Πακιστάν και το Νεπάλ. Οντότητες συμπεριλαμβανομένων τοπικών κυβερνητικών υπηρεσιών, πρεσβειών, στρατιωτικών μονάδων και Υπουργείων Εξωτερικών περιλαμβάνονται στη λίστα των θυμάτων.
Ενώ η ομάδα APT τείνει να παραμείνει εντός αυτής της γεωγραφικής περιοχής, η ομάδα Donot έχει εντοπιστεί και σε επιθέσεις εναντίον πρεσβειών στη Μέση Ανατολή, τη Λατινική Αμερική, τη Βόρεια Αμερική και την Ευρώπη.
Δείτε επίσης: Microsoft: Καταστροφικό malware, που παρουσιάζεται σαν ransomware, στοχεύει την Ουκρανία
Τα μέλη της Donot Team αξιοποιούν ένα προσαρμοσμένο “yty” malware framework σε επιθέσεις. Το malware που χρησιμοποιείται είναι κατάλληλο για μηχανές Windows και Android handsets.
Αυτό που κάνει την συγκεκριμένη ομάδα ενδιαφέρουσα είναι η συνέπεια της και το πόσο επίμονη μπορεί να είναι. Σύμφωνα με τους ερευνητές της ESET, η ομάδα χτυπά συνεχώς σε ένα δίκτυο-στόχο, σε ορισμένες περιπτώσεις για χρόνια, μέχρι να βρει τρόπο να εισέλθει.
Οι ερευνητές της κυβερνοασφάλειας λένε ότι τα μηνύματα phishing αποστέλλονται κάθε δύο έως τέσσερις μήνες στους ίδιους στόχους. Αυτή η συνέπεια, η οποία αποσκοπεί στο να παρασύρει έναν υπάλληλο να ανοίξει ένα κακόβουλο συνημμένο του Office, δεν επιτεύχθηκε μέσω spoofing. Αντίθετα, φαίνεται ότι παραβιασμένοι λογαριασμοί email που αποκτήθηκαν σε προηγούμενες καμπάνιες χρησιμοποιούνται για τη διεξαγωγή περαιτέρω προσπαθειών ηλεκτρονικού ψαρέματος.
Εάν ένα θύμα ανοίξει ένα συνημμένο, κινδυνεύει μέσω κακόβουλων μακροεντολών ή αρχείων .RTF με επεκτάσεις .doc που περιέχουν ένα exploit για το CVE‑2017‑11882, ένα ελάττωμα καταστροφής της μνήμης του Microsoft Office που οδηγεί σε απομακρυσμένη εκτέλεση κώδικα (RCE).
Δείτε επίσης: Αδυναμία του Microsoft Defender εμποδίζει τον εντοπισμό malware
Επιπλέον, τα .RTF περιέχουν ενσωματωμένα .DLL που μπορούν να χρησιμοποιηθούν για τη λήψη περαιτέρω κακόβουλων στοιχείων και για την ανάπτυξη του shellcode.
Το shellcode χρησιμοποιείται για την παράδοση malware DarkMusical και Gedit. Το DarkMusical αποτελείται από μια αλυσίδα προγραμμάτων λήψης και droppers, που οδηγεί στην εκκίνηση ενός βασικού backdoor που έχει ως αποστολή τη διαχείριση της επικοινωνίας command-and-control (C2) server, τη δημιουργία αρχείων και φακέλων και την εξαγωγή δεδομένων.
Το malware Gedit περιέχει δυνατότητες αντίστροφου κελύφους, λειτουργικότητα στιγμιότυπου οθόνης και είναι σε θέση να συλλέγει και να κλέβει αρχεία.
Πηγή πληροφοριών: zdnet.com
