Een bedreigingsacteur met potentiële banden met een Indiaas cyberbeveiligingsbedrijf is sinds ten minste september 2020 opmerkelijk volhardend in zijn aanvallen op militaire organisaties in Zuid-Azië, waaronder Bangladesh, Nepal en Sri Lanka, door verschillende varianten van zijn op maat gemaakte malware in te zetten. kader.
Het Slowaakse cyberbeveiligingsbedrijf ESET schreef de zeer gerichte aanval toe aan een hackgroep die bekend staat als Do not Team. “Het Donot-team richt zich elke twee tot vier maanden consequent op dezelfde entiteiten met golven van spearphishing-e-mails met kwaadaardige bijlagen”, aldus onderzoekers Facundo Muñoz en Matías Porolli. zei.
Het Donot Team (ook bekend als APT-C-2016 en SectorE35) is actief sinds minstens 02 en is in verband gebracht met een reeks inbraken die zich voornamelijk richten op ambassades, regeringen en militaire entiteiten in Bangladesh, Sri Lanka, Pakistan en Nepal met Windows en Android-malware.
In oktober 2021, Amnesty International opgegraven bewijsmateriaal het koppelen van de aanvalsinfrastructuur van de groep aan een Indiaas cyberbeveiligingsbedrijf genaamd Innefu Labs, waardoor het vermoeden ontstaat dat de dreigingsactor de spyware verkoopt of een dienst voor hackers aanbiedt aan overheden in de regio.
Hoewel het niet ongebruikelijk is dat APT-groepen een eerder gecompromitteerd netwerk opnieuw aanvallen door sluipende achterdeurtjes in te zetten om hun sporen te verbergen, probeert Donot Team een andere aanpak door meerdere varianten van de malware in te zetten die al in het arsenaal zitten.
Het zogenaamde yty-malwareframework, geleverd via bewapende Microsoft Office-documenten, is een keten van intermediaire downloaders die culmineert in de uitvoering van een achterdeur, die zorgt voor het ophalen van extra componenten die bestanden kunnen verzamelen, toetsaanslagen en schermafbeeldingen kan opnemen en omgekeerde shells kan inzetten. voor toegang op afstand.
ESET noemde de nieuwe varianten van yty, DarkMusical en Gedit, waarbij telemetriegegevens wijzen op aanvallen van een derde variant genaamd zeuren van maart tot juli 2021. De eerste golf van aanvallen met DarkMusical zou hebben plaatsgevonden in juni 2021, terwijl Gedit-gerelateerde campagnes al in september 2020 werden waargenomen, om een jaar later het tempo weer op te voeren.
Bovendien maakte een vierde reeks aanvallen die tussen februari en maart 2021 plaatsvonden en gericht waren op militaire organisaties in Bangladesh en Sri Lanka, gebruik van een aangepaste versie van Gedit met de codenaam Henos.
“Donot Team compenseert zijn lage verfijning met vasthoudendheid”, concludeerden de onderzoekers. “We verwachten dat het land door zal blijven gaan, ondanks de vele tegenslagen. Alleen de tijd zal leren of de groep zijn huidige TTP’s en malware verder ontwikkelt.”
Bron: https://thehackernews.com/2022/01/donot-hacking-team-targeting-government.html
