ESET-Forscher werfen einen tiefen Blick auf die jüngsten Angriffe des Donot-Teams in den Jahren 2020 und 2021, die auf Regierungs- und Militäreinheiten in mehreren südasiatischen Ländern abzielten
Donot Team (auch bekannt als APT-C-35 und SectorE02) ist ein Bedrohungsakteur, der seit mindestens 2016 tätig ist und dafür bekannt ist, Organisationen und Einzelpersonen in Südasien mit Windows- und Android-Malware anzugreifen. Ein kürzlich Bericht von Amnesty International verknüpft die Malware der Gruppe mit einem indischen Cybersicherheitsunternehmen, das möglicherweise die Spyware verkauft oder den Regierungen der Region einen Hacker-for-Hire-Service anbietet.
Wir haben die Aktivitäten von Donot Team genau verfolgt und mehrere Kampagnen verfolgt, die Windows-Malware nutzen, die von der Signatur der Gruppe abgeleitet wurde yty-Malware-Framework. Nach unseren Erkenntnissen ist die Gruppe sehr hartnäckig und hat mindestens in den letzten zwei Jahren immer wieder dieselben Organisationen ins Visier genommen.
In diesem Blogpost dokumentieren wir zwei Varianten der in den letzten Kampagnen verwendeten Malware – DarkMusical und Gedit. Für jede der Varianten analysieren wir die gesamte Angriffskette und geben Einblick, wie die Gruppe ihre Tools, Taktiken und Techniken aktualisiert.
Targets
Die Kampagnen von Donot Team sind durch Spionage motiviert und verwenden ihre charakteristische Malware: das Malware-Framework „yty“, dessen Hauptzweck darin besteht, Daten zu sammeln und zu exfiltrieren. Laut unserer Telemetrie konzentriert sich das Donot-Team auf eine kleine Anzahl von Zielen in Südasien – Bangladesch, Sri Lanka, Pakistan und Nepal – wie in Abbildung 1 zu sehen.
Abbildung 1. Länder, auf die kürzlich Kampagnen des Donot-Teams abzielten
Diese Angriffe konzentrieren sich auf:
- Staatliche und militärische Organisationen
- Außenministerien
- Botschaften
So weit zu gehen, Botschaften dieser Länder in anderen Regionen wie dem Nahen Osten, Europa, Nordamerika und Lateinamerika ins Visier zu nehmen, liegt ebenfalls nicht außerhalb der Reichweite des Donot-Teams.
Versuchen, versuchen, versuchen Sie es noch einmal
Es ist keine Seltenheit, dass APT-Betreiber versuchen, den Zugriff auf ein kompromittiertes Netzwerk wiederzuerlangen, nachdem sie daraus ausgeschlossen wurden. In einigen Fällen wird dies durch den Einsatz einer heimlicheren Hintertür erreicht, die still bleibt, bis die Angreifer sie brauchen; in anderen Fällen starten sie ihren Betrieb einfach mit neuer Malware oder einer Variante der zuvor verwendeten Malware neu. Letzteres ist bei Donot Team-Betreibern der Fall, nur dass sie bei ihren Versuchen bemerkenswert hartnäckig sind.
Laut ESET-Telemetrie hat Donot Team alle zwei bis vier Monate dieselben Entitäten mit Wellen von Spearphishing-E-Mails mit bösartigen Anhängen angegriffen. Interessanterweise zeigten E-Mails, die wir abrufen und analysieren konnten, keine Anzeichen von Spoofing. Einige E-Mails wurden von denselben Organisationen gesendet, die angegriffen wurden. Es ist möglich, dass die Angreifer die E-Mail-Konten einiger ihrer Opfer in früheren Kampagnen oder den von diesen Organisationen verwendeten E-Mail-Server kompromittiert haben.
Bei Spearphishing-E-Mails verwenden die Angreifer bösartige Microsoft Office-Dokumente, um ihre Malware einzusetzen. Wir haben gesehen, wie Donot Team mindestens drei Techniken verwendet hat. Einer davon sind Makros in Word-, Excel- und PowerPoint-Dokumenten, wie das Beispiel in Abbildung 2 zeigt.
Abbildung 2. Schädliches Makro in einem PowerPoint-Dokument, das eine ausführbare Downloader-Datei ablegt und eine geplante Aufgabe zu ihrer Ausführung erstellt
Die zweite Technik ist RTF-Dateien mit .doc Erweiterungen, die die Sicherheitslücke durch Speicherbeschädigung ausnutzen CVE ‑ 2017‑11882 im Formeleditor, dargestellt in Abbildung 3. Diese RTF-Dokumente enthalten auch zwei eingebettete DLLs als OLE-Objekte (siehe Abbildung 4), die verwendet werden, um weitere Komponenten zu installieren und herunterzuladen (beide DLLs werden im Abschnitt Gedit beschrieben). Dies ermöglicht den Angreifern, Shellcode auszuführen, und erfordert keine Benutzerinteraktion. Der Shellcode stellt die Hauptkomponenten der Malware bereit.
Abbildung 3. CLSID des COM-Objekts, das vom RTF-Dokument zum Laden des Formeleditors verwendet wird; das folgende OLE-Objekt enthält den Exploit CVE-2017-1182
Abbildung 4. Die OLE-Objekt-Header der DLLs, die ebenfalls in das RTF-Dokument eingebettet sind
Die dritte Technik ist entfernt RTF-Vorlageninjektion, die es den Angreifern ermöglicht, eine Payload von einem Remote-Server herunterzuladen, wenn das RTF-Dokument geöffnet wird. Dies wird erreicht, indem eine URL in die optionale eingefügt wird *Schablone Steuerwort des RTF-Dateiformats anstelle des Speicherorts einer lokalen Dateiressource. Die Payload, die Donot Team verwendet, ist ein weiteres Dokument, das CVE-2017-11882 ausnutzt und nach dem Herunterladen automatisch geladen wird. Dies ist in Abbildung 5 dargestellt.
Abbildung 5. Wenn Word eine RTF-Datei mit einer Remote-Vorlage öffnet, versucht es automatisch, die Ressource herunterzuladen
Das Malware-Framework yty
Entdeckt von NetScout 2018 ist das Malware-Framework yty ein weniger ausgefeilter und schlecht entwickelter Nachfolger eines älteren Frameworks namens EHDevel. Das yty-Framework besteht aus einer Kette von Downloadern, die letztendlich eine Hintertür mit minimaler Funktionalität herunterladen, die zum Herunterladen und Ausführen weiterer Komponenten des Toolsets von Donot Team verwendet wird.
Dazu gehören Dateikollektoren basierend auf Dateierweiterung und Erstellungsjahr, Bildschirmaufnahmen, Keylogger, Reverse-Shells und mehr. Wie in Abbildung 6 zu sehen, sammeln Komponenten für die Exfiltration die gesammelten Informationen aus Staging-Ordnern und laden jede Datei auf einen bestimmten Server hoch, der nur für diesen Zweck verwendet wird.
Abbildung 6. Komponente, die den Ordnernamen zum Staging von JPEG-Screenshots auflöst (links) und Exfiltrationskomponente, die alle Dateien im Staging-Ordner findet (rechts)
Die Namen und Speicherorte der Staging-Ordner werden mit fast jeder neuen Kampagne geändert, ebenso wie einige der Dateinamen der Komponenten. Es gibt jedoch Fälle, in denen die Namen von Komponenten unverändert geblieben sind, zum Beispiel: gedit.exe, wuaupdt.exe, lmpss.exe, disk.exe, unter anderen. Wie in Abbildung 7 zu sehen ist, müssen diese Werte anscheinend für jede neue Kampagne im Quellcode geändert und dann neu kompiliert werden, um neue Pfade und Dateinamen festzulegen, da keine dieser Komponenten einen Konfigurationsblock oder eine Konfigurationsdatei verwendet.
Abbildung 7. Verschlüsselte Zeichenfolgen mit Speicherorten und Dateinamen, die regelmäßig geändert werden (oben) und unverschlüsselte Werte, die beim Erstellen der C&C-URL verwendet werden (unten)
Die Malware verwendet geplante Aufgaben für die Persistenz und wechselt zwischen Kampagnen zwischen DLL- und EXE-Dateien. Im Fall von DLLs werden geplante Tasks ausgeführt rundll32.exe um sie zu laden und eine der exportierten Funktionen auszuführen.
Die Entwickler des yty-Frameworks setzen in erster Linie auf die Programmiersprache C++. Wahrscheinlich um der Entdeckung zu entgehen, haben sie ihre Komponenten unter anderem auch auf andere Sprachen wie VBScript, Python (im Paket mit PyInstaller), Visual C# und AutoIt portiert. Seit 2019 haben wir jedoch nur gesehen, dass sie Komponenten nutzen, die in C++ (Abbildung 8) und Go (Abbildung 9) programmiert sind.
Abbildung 8. Dekompilierter Code der Komponente, die Screenshots erfasst, ursprünglich in C++ geschrieben
Abbildung 9. Dekompilierter Code der Komponente, die Screenshots erfasst, für die in Go geschriebene Version
Die Malware verwendet während ihrer Bereitstellung manchmal zwei oder drei Server. Es kann einen Server in seiner Kette von Downloadern und einen anderen Server verwenden, den die Hintertür kontaktiert, um seine Befehle zu erhalten und weitere Komponenten herunterzuladen, oder denselben Server für beide Zwecke verwenden. Für das Hochladen der gesammelten Informationen wird immer ein anderer Server verwendet. Bei einigen Angriffen hat Donot Team C&C-Domains aus früheren Angriffen wiederverwendet – sowohl für Downloads als auch für Exfiltration. Wie in Abbildung 10, Abbildung 11 und Abbildung 12 zu sehen, verfolgen wir diese Komponenten – später als Variante beschrieben DarkMusical – im selben Angriff verwendet, verwendete drei verschiedene C&C-Domains.
Abbildung 10. Der erste Downloader entschlüsselt die URL des Servers, von dem er die nächste Stufe der Kette herunterlädt
Abbildung 11. In späteren Stadien verwendet die Hintertür einen anderen Server für die C&C-Kommunikation
Abbildung 12. Die Exfiltrationskomponenten verwenden noch einen dritten Server, um die gesammelten Dateien hochzuladen
Zeitleiste der Angriffe
Hier beschreiben wir die Malware-Varianten, die in den letzten Kampagnen des Donot-Teams verwendet wurden, mit Schwerpunkt auf ihrer Windows-Malware, von September 2020 bis Oktober 2021. Der Übersichtlichkeit halber haben wir sie in zwei Varianten des yty-Malware-Frameworks unterteilt: Gedit und DarkMusical, mit eine bestimmte Kampagne mit Gedit, die wir Henos genannt haben.
In Abbildung 13 präsentieren wir gemäß unserer Telemetrie eine Zeitachse der Angriffe. Außerdem haben wir in unsere Chronik Angriffe einer anderen Variante aufgenommen, die als „Jaca-Framework“ bekannt ist. Wir werden es hier jedoch nicht beschreiben, da es hier ausführlich beschrieben wurde Bericht von CN-SEC.
Abbildung 13. Zeitachse der Donot-Team-Angriffe von September 2020 bis Oktober 2021 laut ESET-Telemetrie
DarkMusical
Laut ESET-Telemetrie ereignete sich die erste Angriffswelle, bei der diese Variante eingesetzt wurde, im Juni 2021 und richtete sich gegen militärische Organisationen in Bangladesch. Wir konnten nur seine Downloader-Kette und seine Haupt-Hintertür wiederherstellen. Angesichts der geringen Anzahl von Opfern glauben wir, dass es sich um einen sehr gezielten Angriff gehandelt haben könnte.
Im September wurden bei einer zweiten Angriffswelle gegen Militärorganisationen in Nepal neue C&C-Server sowie Datei- und Staging-Ordnernamen verwendet. Wir konnten eine Reihe von Komponenten wiederherstellen, die von der Hintertür heruntergeladen wurden, daher haben wir uns entschieden, stattdessen diese Angriffe zu beschreiben.
Spearphishing-E-Mails wurden mit PowerPoint-Dokumenten gesendet, die ein Makro enthielten, das die erste Komponente einer Kette von Downloadern bereitstellt und mithilfe einer geplanten Aufgabe fortbesteht. Wenn potenzielle Opfer diese Dokumente öffnen, wird ihnen eine gefälschte Fehlermeldung angezeigt, wie in Abbildung 14 zu sehen, und die Dokumente bleiben ohne sichtbaren Inhalt.
Abbildung 14. Screenshot eines leeren, schädlichen PowerPoint-Dokuments
Wie in Abbildung 15 zu sehen, zielt die Kette von Downloadern darauf ab, eine letzte Komponente herunterzuladen, die als Hintertür mit minimaler Funktionalität fungiert: Sie lädt eigenständige Komponenten herunter und führt sie mithilfe von aus ShellExecute Windows-API, neue C&C-URLs abrufen und speichern.
Die Hintertür lädt die Komponenten herunter, die das Sammeln und Exfiltrieren von Informationen auf einen dedizierten Server handhaben. Diese Komponenten kommunizieren nicht mit der Hintertür oder dem C&C, um über ihre Aktivitäten zu berichten – sie verwenden vielmehr einen bestimmten Ordner für die Bereitstellung der Daten, und eine separate Exfiltrationskomponente sammelt alles und lädt es hoch.
Abbildung 15. Beobachtete Kompromisskette für DarkMusical
Wir haben uns entschieden, diese Kampagne DarkMusical zu nennen, weil die Angreifer ihre Dateien und Ordner benannt haben: Viele davon sind westliche Berühmtheiten oder Charaktere aus dem Film High School Musical. Tabelle 1 beschreibt kurz den Zweck jeder der Komponenten in der Kompromisskette.
Tabelle 1. Komponenten in der Kompromisskette der DarkMusical-Kampagne
| Dateiname | Beschreibung |
|---|---|
| rihana.exe | Diese ausführbare Datei wird vom bösartigen Dokument abgelegt %public%Musicrihana.exe und Persistenz, die über eine aufgerufene geplante Aufgabe hergestellt wird muss. Lädt Datei herunter auf %public%Musicacrobat.dll und legt eine BAT-Datei ab %public%Musicsidilieicaliei.bat. Die BAT-Datei ruft auf schtasks.exe das erstellen hmmci geplante Aufgabe zur Ausführung |
| Acrobat.dll | Lädt die Datei herunter und speichert sie unter %public%Musicwift Zusätzlich kann a ausgestellt werden systeminfo.exe Befehl, auf dessen Ausgabe umgeleitet wird %public%Musicjustin. Der Inhalt der Datei wird an seinen C&C-Server gesendet. Legt die Datei ab und führt sie aus %public%Musicjanifer.bat die mehrere Aufgaben erfüllt: • Erstellt zwei geplante Aufgaben: - scmos ausführen %public%MusicTroyforbidden.exe - msoudatee das wird ausgeführt %public%MusicGabriellaremember.exe • Verschiebt die schnell Datei in die Gabri Ordner und benennt ihn um in erinnern.exe • Löschversuche Acrobat.dll und rihana.exe • Löscht die genannten geplanten Aufgaben hmmci und muss • Löscht sich selbst |
| erinnern.exe | Lädt Datei herunter auf %public%MusicTroyforbidden.exe |
| verboten.exe | Verwendet die in gespeicherte URL %public%MusicTaylorflag Datei; Wenn keine URL vorhanden ist, wird die Standard-URL verwendet. Akzeptiert drei Befehle: • Legen Sie die URL im fest Flagge Datei • Datei ausführen mit ShellExecute Windows-API • Datei herunterladen auf %public%MusikTaylor |
In Tabelle 2 beschreiben wir den Zweck jeder Komponente des Toolsets des Angreifers.
Tabelle 2. Beschreibung der Komponenten im Toolset des Angreifers für DarkMusical
| Dateiname | Beschreibung |
|---|---|
| serviceup.exe | Umgekehrte Schalen |
| sddate.exe | |
| srcot.exe | Macht Screenshots, speichert sie unter %public%MusicSymphony |
| Drei Varianten von nDExiD.exe | Sammelt Dateien, die 2021 und später erstellt wurden, und kopiert sie in den Staging-Ordner %public%MusicSymphony
Sammelt Dateien nach Erweiterung: Dock, docx, eml, in P., jpeg, jpg, msg, odt, pdf, pps, ppsx, ppt, pptx, rtf, txt, xls, XLSX |
| Wie oben, aber die Dateien müssen im Jahr 2020 oder später erstellt worden sein. | |
| Dateisammler, der das Einstecken von USB-Laufwerken und Änderungen im Dateisystem überwacht. Sammelt dieselben Dokumente nach Erweiterung wie oben, enthält aber auch Dateien mit Erweiterungen: Dok, mbox, pst | |
| upsvcsu.exe | Exfiltriert gesammelte Dateien.
Listet alle Dateien auf %public%MusicSymphony und lädt diejenigen hoch, die den Erweiterungen entsprechen: Dock, docx, eml, in P., jpeg, jpg, msg, odt, pdf, pps, ppsx, ppt, pptx, rtf, txt, xls, XLSX |
Gedit
Wir haben die ersten Angriffe der Kampagne mit Gedit im September 2020 auf Organisationen in Pakistan entdeckt, die bereits Ziel von Spearphishing und böswilligen RTF-Dokumenten waren, die das Jaca-Framework installiert hatten. Seitdem konzentriert sich das Donot Team auf Ziele in Bangladesch, Nepal und Sri Lanka. Die Malware ist eindeutig vom yty-Malware-Framework abgeleitet, aber sie ist deutlich genug, um von DarkMusical getrennt zu werden.
Wir konnten eine Spearphishing-E-Mail abrufen, die einer Gedit-Kampagne im Februar 2021 entsprach, die in Abbildung 16 dargestellt ist. Der erste Anhang enthielt eine Liste von Mitarbeitern einer Militäreinheit in Bangladesch (und keinen böswilligen Inhalt). Der zweite Anhang zeigte nichts als eine leere Seite, während bösartiger Code ausgeführt wurde.
Abbildung 16. Screenshot einer von den Angreifern gesendeten Spearphishing-E-Mail
Wir können sehen, dass die Größe der zweiten Datei größer als 2 MB ist. Es ist eine RTF-Datei, die ausnutzt CVE-2017-11882 um zwei im Dokument enthaltene DLL-Dateien zu löschen und eine davon auszuführen. Andere Komponenten werden in verschiedenen Phasen auf den kompromittierten Computer heruntergeladen. Eine Übersicht über diese Angriffskette und ihre Malware-Komponenten ist in Abbildung 17 dargestellt.
Abbildung 17. Kompromittierungskette in Gedit-Kampagnen
Die Komponenten wurden in Go und C++ (mit MinGW- und Visual Studio-Compilern) codiert. Wir haben uns entschieden, die in dieser Kampagne im Februar 2021 verwendeten Komponenten zu beschreiben, die in Tabelle 3 aufgeführt sind.
Tabelle 3. Beschreibung der Komponenten für die Gedit-Variante
| Dateiname | Beschreibung |
|---|---|
| vbtr.dll | Verschiebt die Datei %TEMP%bcs01276.tmp zu %USERPROFILE%Documentsmsdn022.dll
Erstellt eine geplante Aufgabe MobUpdate ausführen |
| msdn022.dll | Lädt eine Datei herunter %APPDATA%mscx01102 (später umbenannt in Winhlp.exe).
Schreibt und führt aus %APPDATA%test.bat, welche: |
| Winhlp.exe | Lädt eine Datei herunter %USERPROFILE%infboostOOOnprint.exe (wenn es nicht existiert oder seine Größe weniger als 50 kB beträgt). |
| nprint.exe | Sendet eine Anfrage an einen Server und abhängig von der Antwort können drei Aktionen ausgeführt werden: • Wenn qwertyuiop in den Antwortheadern steht, dann wird eine Datei heruntergeladen • Wenn asdfghjklzx in den Antwortheadern ist, dann versucht es auszuführen • Wenn zxcvbnmlkjhgfd in den Antwortheadern ist, dann versucht es auszuführen Wenn eine Datei |
| wuaupdt.exe | Umgekehrte Schale. |
| lmpss.exe | Macht Screenshots und speichert sie in einer Endlosschleife unter %USERPROFILE%RemoteDeskApps |
| innod.exe | Dateisammler. Iteriert rekursiv durch Laufwerke und protokolliert interessante Dateien Sucht Dateien mit den Erweiterungen: Dock, docx, xls, XLSX, ppt, pps, pptx, ppsx, pdf, in P., msg, jpg, jpeg, png, txt Schließt die folgenden Dateien/Ordner aus: ., .., nohiucf, Windows, Letzten Orte, Tempfile, Programm Mappen, Programm Mappen (X86), ProgramData, Microsoft, Paket-Cache Diese Komponente läuft in einer Endlosschleife, iterierende Laufwerke ab C: zu H: |
| gedit.exe | Sendet gesammelte Dateien an einen Server. Alle Dateien, die in %USERPROFILE%RemoteDeskApps werden nacheinander unverschlüsselt gesendet. Außer dem Ausschließen gibt es keine Prüfung auf Verlängerung . und ..
Die Opferkennung, in die geschrieben wurde %USERPROFILE%Policyen-usFileswizard wird an die URL angehängt. Wenn die Datei nicht existiert, dann die Standardzeichenfolge HeloBSiamabcferss wird stattdessen verwendet. User-Agent ist: Es erstellt ein Systemereignis aaaaaaaaa um sicherzustellen, dass jeweils nur eine Instanz der Komponente ausgeführt wird. |
Henos-Kampagne
Schließlich ist eine Angriffswelle zu erwähnen, die zwischen Februar und März 2021 stattfand und auf militärische Organisationen in Bangladesch und Sri Lanka abzielte. Diese Angriffe verwendeten die Gedit-Variante der Malware, jedoch mit einigen geringfügigen Modifikationen. Daher haben wir uns entschieden, diese Kampagne in unserer Chronik Henos zu nennen, nach ihrer Backdoor-DLL – henos.dll.
Auch Proben von Komponenten dieser Angriffswelle wurden im Februar online gemeldet, was wahrscheinlich erklärt, warum die Gruppe die Komponenten nicht erneut verwendet hat (vgl Dieser Tweet von Forschern der Shadow Chaser Group, beispielsweise).
Obwohl wir keine entsprechenden Spearphishing-E-Mails oder schädliche Dokumente gefunden haben, ist die Angriffskette vermutlich die gleiche wie oben beschrieben, mit einigen geringfügigen Unterschieden in der Ausführung der Komponenten. Eine Übersicht hierzu ist in Abbildung 18 dargestellt.
Abbildung 18. Kompromisskette der Henos-Kampagne
Während einige der Komponenten dieser Kampagne genannt werden javatemp.exe und pytemp.exe, wurden diese Dateinamen wahrscheinlich nur in dem Versuch gewählt, legitime Software wie Java oder Python nachzuahmen. Während pytemp.exe und plaapas.exe wurden in der Go-Sprache kodiert, javatemp.exe wurde in C++ codiert (kompiliert mit MinGW).
Eine letzte Anmerkung ist, dass die Komponente, die die Exfiltration von Dateien durchführt, pytemp.exe, führt eine Prüfung durch, um festzustellen, ob gedit.exe läuft. Wenn zwei oder mehr Instanzen gefunden werden, wird es beendet. Wir glauben, dass dies ein Fehler der Programmierer ist, da dies überprüft werden sollte pytemp.exe stattdessen. Dieser einfache Fehler hilft uns jedoch, die Henos-Kampagne mit der Gedit-Variante der Malware in Verbindung zu bringen (hinzugefügt zur Codeähnlichkeit).
Zusammenfassung
Donot Team gleicht seine geringe Raffinesse durch Hartnäckigkeit aus. Wir gehen davon aus, dass es ungeachtet seiner vielen Rückschläge weiter voranschreiten wird. Nur die Zeit wird zeigen, ob die Gruppe ihre aktuellen TTPs und Malware weiterentwickelt.
Wenden Sie sich bei Fragen oder zum Einreichen von Mustereinsendungen zu diesem Thema unter throwintel@eset.com an uns.
Kompromissindikatoren (IoCs)
Eine umfassende Liste von Indicators of Compromise (IoCs) und Mustern finden Sie in unserem GitHub-Repository.
Gedit – Oktober 2021
Muster
| SHA-1 | Dateiname | ESET-Erkennungsname |
|---|---|---|
| 78E82F632856F293BDA86D77D02DF97EDBCDE918 | cdc.dll | Win32/TrojanDownloader.Donot.C |
| D9F439E7D9EE9450CD504D5791FC73DA7C3F7E2E | wbiosr.exe | Win32/TrojanDownloader.Donot.D |
| CF7A56FD0613F63418B9DF3E2D7852FBB687BE3F | vdsc.exe | Win32/TrojanDownloader.Donot.E |
| B2263A6688E512D90629A3A621B2EE003B1B959E | wuaupdt.exe | Win32/ReverseShell.J |
| 13B785493145C85B005E96D5029C20ACCFFE50F2 | gedit.exe | Win32/Spy.Donot.A |
| E2A11F28F9511753698BA5CDBAA70E8141C9DFC3 | wscs.exe | Win32/Spy.Donot.B |
| F67ABC483EE2114D96A90FA0A39496C42EF050B5 | gedit.exe | Win32/Spy.Donot.B |
Netzwerk
Server herunterladen
- https://request.soundedge[.]live/access/nasrzolofuju
- https://request.soundedge[.]live/access/birkalirajliruajirjiairuai
- https://share.printerjobs[.]xyz/id45sdjscj/<VICTIM_ID>
Exfiltrationsserver
- https://submin.seasonsbackup[.]xyz/backup/<VICTIM_ID>
Reverse-Shell-Server
- 80.255.3[.]67
Gedit – Juli 2021
Muster
| SHA-1 | Dateiname | ESET-Erkennungsname |
|---|---|---|
| A71E70BA6F3CD083D20EDBC83C72AA823F31D7BF | hxedit.exe | Win32/TrojanDownloader.Donot.N |
| E101FB116F05B7B69BD2CAAFD744149E540EC6E9 | lmpss.exe | Win64/HackTool.Ligolo.A |
| 89D242E75172C79E2F6FC9B10B83377D940AE649 | gedit.exe | WinGo/Spy.Donot.A |
| B42FEFE2AB961055EA10D445D9BB0906144647CE | gedit.exe | WinGo/Spy.Donot.A |
| B0704492382186D40069264C0488B65BA8222F1E | disk.exe | Win32/Spy.Donot.L |
| 1A6FBD2735D3E27ECF7B5DD5FB6A21B153FACFDB | disk.exe | Win32/Spy.Donot.A |
| CEC2A3B121A669435847ADACD214BD0BE833E3AD | disk.exe | Win32/Spy.Donot.M |
| CBC4EC0D89FA7A2AD1B1708C5A36D1E304429203 | disk.exe | Win32/Spy.Donot.A |
| 9371F76527CA924163557C00329BF01F8AD9E8B7 | gedit.exe | Win32/Spy.Donot.J |
| B427744B2781BC344B96907BF7D68719E65E9DCB | wuaupdt.exe | Win32/TrojanDownloader.Donot.W |
Netzwerk
Download-Server
- request.submitonline[.]club/orderme/
Exfiltrationsserver
- oceansurvey[.]club/hochladen/
- request.soundedge[.]live/ / laden
Reverse-Shell-Server
- 80.255.3[.]67
- 37.48.122[.]145
Gedit – Februar/März 2021
Muster
| SHA-1 | Dateiname | ESET-Erkennungsname |
|---|---|---|
| A15D011BED98BCE65DB597FFD2D5FDE49D46CFA2 | BN_Webmail_Liste 2020.doc | Win32/Exploit.Agent.UN |
| 6AE606659F8E0E19B69F0CB61EB9A94E66693F35 | vbtr.dll | Win32/Spy.Donot.G |
| 0290ABF0530A2FD2DFB0DE29248BA3CABB58D2AD | bcs01276.tmp (msdn022.dll) | Win32/TrojanDownloader.Donot.P |
| 66BA21B18B127DAA47CB16AB1F2E9FB7DE3F73E0 | Winhlp.exe | Win32/TrojanDownloader.Donot.J |
| 79A5B10C5214B1A3D7CA62A58574346C03D54C58 | nprint.exe | Win32/TrojanDownloader.Donot.K |
| B427744B2781BC344B96907BF7D68719E65E9DCB | wuaupdt.exe | Win32/TrojanDownloader.Donot.W |
| E423A87B9F2A6DB29B3BA03AE7C4C21E5489E069 | lmpss.exe | WinGo/Spy.Donot.B |
| F43845843D6E9FB4790BF70F1760843F08D43790 | innod.exe | Win32/Spy.Donot.G |
| 4FA31531108CC68FF1865E2EB5654F7B3DA8D820 | gedit.exe | Win32/Spy.Donot.G |
Netzwerk
Server herunterladen
- firm.tplinkupdates[.]space/8ujdfuyer8d8f7d98jreerje
- firm.tplinkupdates[.]space/yu37hfgde64jskeruqbrgx
- space.lovingallupdates[.]life/orderme
Exfiltrationsserver
- oceansurvey.club/upload/
Reverse-Shell-Server
- 80.255.3[.]67
Gedit – September 2020
Muster
| SHA-1 | Dateiname | ESET-Erkennungsname |
|---|---|---|
| 49E58C6DE5245796AEF992D16A0962541F1DAE0C | lmpss.exe | Win32/Spy.Donot.H |
| 6F38532CCFB33F921A45E67D84D2796461B5A7D4 | prodot.exe | Win32/TrojanDownloader.Donot.K |
| FCFEE44DA272E6EB3FC2C071947DF1180F1A8AE1 | prodot.exe | Win32/TrojanDownloader.Donot.S |
| 7DDF48AB1CF99990CB61EEAEB3ED06ED8E70A81B | gedit.exe | Win32/TrojanDownloader.Donot.AA |
| DBC8FA70DFED7632EA21B9AACA07CC793712BFF3 | disk.exe | Win32/Spy.Donot.I |
| CEF05A2DAB41287A495B9413D33F14D94A568C83 | wuaupdt.exe | Win32/Spy.Donot.A |
| E7375B4F37ECEA77FDA2CEA1498CFB30A76BACC7 | prodot.exe | Win32/TrojanDownloader.Donot.AA |
| 771B4BEA921F509FC37016F5FA22890CA3338A65 | apic.dll | Win32/TrojanDownloader.Donot.A |
| F74E6C2C0E26997FDB4DD89AA3D8BD5B270637CC | njhy65tg.dll | Win32/TrojanDownloader.Donot.O |
Netzwerk
Server herunterladen
- soundvista[.]club/sessionanfrage
- soundvista[.]club/orderme/
- soundvista[.]club/winuser
Exfiltrationsserver
- request.resolverequest[.]live/upload/ -
Reverse-Shell-Server
- 80.255.3[.]67
DarkMusical – September 2021
Muster
| SHA-1 | Dateiname | ESET-Erkennungsname |
|---|---|---|
| 1917316C854AF9DA9EBDBD4ED4CBADF4FDCFA4CE | rihana.exe | Win32/TrojanDownloader.Donot.G |
| 6643ACD5B07444D1B2C049BDE61DD66BEB0BD247 | Acrobat.dll | Win32/TrojanDownloader.Donot.F |
| 9185DEFC6F024285092B563EFA69EA410BD6F85B | erinnern.exe | Win32/TrojanDownloader.Donot.H |
| 954CFEC261FEF2225ACEA6D47949D87EFF9BAB14 | verboten.exe | Win32/TrojanDownloader.Donot.I |
| 7E9A4A13A76CCDEC880618BFF80C397790F3CFF3 | serviceup.exe | Win32/ReverseShell.J |
| BF183A1EC4D88034D2AC825278FB084B4CB21EAD | srcot.exe | Win32/Spy.Donot.F |
| 1FAA4A52AA84EDB6082DEA66F89C05E0F8374C4C | upsvcsu.exe | WinGo/Spy.Donot.A |
| 2F2EA73B5EAF9F47DCFB7BF454A27A3FBF253A1E | sddate.exe | Win32/ReverseShell.J |
| 39F92CBEC05785BF9FF28B7F33906C702F142B90 | ndexid.exe | Win32/Spy.Donot.C |
| 1352A8394CCCE7491072AAAC9D19ED584E607757 | ndexid.exe | Win32/Spy.Donot.E |
| 623767BC142814AB28F8EC6590DC031E7965B9CD | ndexid.exe | Win32/Spy.Donot.A |
Netzwerk
Server herunterladen
- digitalauflösung[.]live/ ~ ~ /ekcvilsrkjiasfjkikiakik
- digitalauflösung[.]live/ ~ ~ /ziuriucjiekuiemoaeukjudjkgfkkj
- digitalauflösung[.]live/ ~ ~ /Sqieilcioelikalik
- Druckerlösungen[.]live/ ~ ~ /orderme
Exfiltrationsserver
- packetbite[.]live/ ~ ~ / laden
Reverse-Shell-Server
- 37.120.198[.]208
- 51.38.85[.]227
DarkMusical – Juni 2021
Muster
| SHA-1 | Dateiname | ESET-Erkennungsname |
|---|---|---|
| BB0C857908AFC878CAEEC3A0DA2CBB0A4FD4EF04
6194E0ECA5D494980DF5B9AB5CEA8379665ED46A |
ertficial.dll | Win32/TrojanDownloader.Donot.X |
| ACB4DF8708D21A6E269D5E7EE5AFB5168D7E4C70 | msofficedll.dll | Win32/TrojanDownloader.Donot.L |
| B38F3515E9B5C8F4FB78AD17C42012E379B9E99A | scmo.exe | Win32/TrojanDownloader.Donot.M |
| 60B2ADE3B339DE4ECA9EC3AC1A04BDEFC127B358 | pscmo.exe | Win32/TrojanDownloader.Donot.I |
Netzwerk
Server herunterladen
- biteupdates[.]live/ ~ ~ /orderme
- biteupdates[.]live/ ~ ~ /KdkdUe7KmmGFD
- biteupdates[.]live/ ~ ~ /acdfsgbvdghd
- Datenaktualisierungen[.]live/ ~ ~ /DKixeXs44skdqqD
- Datenaktualisierungen[.]live/ ~ ~ /BcX21DKixeXs44skdqqD
Henos – Februar/März 2021
Muster
| SHA-1 | Dateiname | ESET-Erkennungsname |
|---|---|---|
| 468A04B358B780C9CC3174E107A8D898DDE4B6DE | Beschaffungsschreiben 21. Februar.doc | Win32/Exploit.CVE-2017-11882.CP |
| 9DD042FC83119A02AAB881EDB62C5EA3947BE63E | ctlm.dll | Win32/Spy.Donot.N |
| 25825268868366A31FA73095B0C5D0B696CD45A2 | stpnaqs.pmt (jptvbh.exe) | Win32/TrojanDownloader.Donot.Z |
| 540E7338725CBAA2F33966D5C1AE2C34552D4988 | henos.dll | Win32/Spy.Donot.G |
| 526E5C25140F7A70BA9F643ADA55AE24939D10AE | plaapas.exe | WinGo/Spy.Donot.B |
| 89ED760D544CEFC6082A3649E8079EC87425FE66 | javatemp.exe | Win32/Spy.Donot.G |
| 9CA5512906D43EB9E5D6319E3C3617182BBF5907 | pytemp.exe | WinGo/Spy.Donot.A |
Netzwerk
Server herunterladen
- info.printerupdates[.]online/ /Xddv21SDsxDl
- info.printerupdates[.]online/ ~ /XddvInXdl
- info.printerupdates[.]online/ ~ /ZuDDey1eDXUl
- info.printerupdates[.]online/ ~ /Vyuib45xzlqn
Exfiltrationsserver
- https://manage.biteupdates[.]site/<PC_NAME>/uload
MITRE ATT&CK-Techniken
Diese Tabelle wurde mit erstellt Version 10 des ATT&CK-Frameworks.
| Taktik | ID | Name und Vorname | Beschreibung |
|---|---|---|---|
| Ressourcenentwicklung | T1588.005 | Erwerben Sie Fähigkeiten: Exploits | Donot Team hat CVE-2017-11882-Exploits verwendet, um seine Malware der ersten Stufe auszuführen. |
| Erster Zugriff | T1566.001 | Phishing: Spearphishing-Anhang | Donot Team hat Spearphishing-E-Mails mit bösartigen Word- oder PowerPoint-Anhängen an seine Opfer gesendet. |
| ausführung | T1204.002 | Benutzerausführung: Schädliche Datei | Donot Team hat seine Opfer dazu verleitet, bösartige E-Mail-Anhänge zu öffnen. |
| T1059.005 | Befehls- und Skriptinterpreter: Visual Basic | Donot Team hat Makros verwendet, die in PowerPoint-Dokumenten enthalten sind. | |
| T1059.003 | Befehls- und Skriptinterpreter: Windows-Befehlsshell | Donot Team hat Reverse-Shells auf dem System verwendet, um Befehle auszuführen. | |
| T1203 | Ausbeutung zur Kundenausführung | Donot Team hat CVE-2017-11882-Exploits verwendet, um Code auf dem Computer des Opfers auszuführen. | |
| Beharrlichkeit | T1053.005 | Geplanter Task/Job: Geplanter Task | Donot Team hat geplante Aufgaben für die Persistenz seiner bösartigen Komponenten erstellt. |
| Verteidigungsflucht | T1036.005 | Maskierung: Übereinstimmung mit legitimem Namen oder Ort | Donot Team hat Dateinamen wie z pytemp or javatemp um den Namen legitimer Software anzunähern. |
| Angewandte F&E | T1057 | Prozesserkennung | Donot Team hat Überprüfungen auf ältere Versionen der Malware implementiert, die auf dem System des Opfers ausgeführt werden. |
| Seitliche Bewegung | T1534 | Internes Spearphishing | Donot Team hat Spearphishing-E-Mails an seine Opfer gesendet, die von derselben Zielorganisation stammten. |
| Sammlung | T1005 | Daten vom lokalen System | Donot Team hat bösartige Module verwendet, die das Dateisystem des Opfers durchlaufen und nach Dateien mit verschiedenen Erweiterungen suchen. |
| T1025 | Daten von Wechselmedien | Donot Team hat ein schädliches Modul verwendet, um Dateien von Wechseldatenträgern zu kopieren. | |
| T1074.001 | Datenbereitstellung: Lokale Datenbereitstellung | Donot Team hat Dateien zur Exfiltration an einem einzigen Ort bereitgestellt, einem Ordner auf dem Computer des Opfers. | |
| T1113 | Screen Capture | Donot Team hat schädliche Module verwendet, um Screenshots von Opfern zu machen. | |
| Command and Control | T1071.001 | Application Layer Protocol: Webprotokolle | Donot Team hat HTTP/S für C&C-Kommunikation und Datenexfiltration verwendet. |
| Exfiltration | T1048.003 | Exfiltration über alternatives Protokoll: Exfiltration über unverschlüsseltes/verschleiertes Nicht-C2-Protokoll | Donot Team hat dedizierte Server für die Exfiltration verwendet und die Daten unverschlüsselt über HTTP oder HTTPS gesendet. |
Quelle: https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/
