Zephyrnet-logo

Ga niet! Niet respawnen!

Datum:

ESET-onderzoekers onderzoeken de recente aanvallen van het Donot Team in 2020 en 2021, gericht op regeringen en militaire entiteiten in verschillende Zuid-Aziatische landen

Donot Team (ook bekend als APT-C-35 en SectorE02) is een dreigingsactor die ten minste sinds 2016 actief is en bekend staat om zijn aanvallen op organisaties en individuen in Zuid-Azië met Windows- en Android-malware. Een recent rapport van Amnesty International koppelt de malware van de groep aan een Indiaas cyberbeveiligingsbedrijf dat mogelijk de spyware verkoopt of een hacker-for-hire-service aanbiedt aan regeringen van de regio.

We hebben de activiteiten van Donot Team nauwlettend gevolgd en hebben verschillende campagnes getraceerd die gebruikmaken van Windows-malware die is afgeleid van de handtekening van de groep yty malware-framework. Volgens onze bevindingen is de groep zeer vasthoudend en heeft ze zich de afgelopen twee jaar consequent op dezelfde organisaties gericht.

In deze blogpost documenteren we twee varianten van de malware die in recente campagnes is gebruikt: DarkMusical en Gedit. Voor elk van de varianten analyseren we de hele aanvalsketen en geven we inzicht in hoe de groep zijn tools, tactieken en technieken bijwerkt.

Doelen

De campagnes van Donot Team worden gemotiveerd door spionage, met behulp van hun kenmerkende malware: het "yty" malware-framework, waarvan het hoofddoel is om gegevens te verzamelen en te exfiltreren. Volgens onze telemetrie richt het Donot-team zich op een klein aantal doelen in Zuid-Azië - Bangladesh, Sri Lanka, Pakistan en Nepal - zoals te zien is in figuur 1.

Afbeelding 1. Landen die zijn getarget in recente Donot Team-campagnes

Deze aanvallen zijn gericht op:

  • Overheid en militaire organisaties
  • Ministeries van Buitenlandse Zaken
  • Ambassades

Zo ver gaan om ambassades van deze landen in andere regio's te targeten, zoals het Midden-Oosten, Europa, Noord-Amerika en Latijns-Amerika, valt ook niet buiten het domein van Donot Team.

Probeer, probeer, probeer opnieuw

Het is niet zeldzaam dat APT-operators proberen om weer toegang te krijgen tot een gecompromitteerd netwerk nadat ze eruit zijn verwijderd. In sommige gevallen wordt dit bereikt door de inzet van een onopvallende achterdeur die stil blijft totdat de aanvallers hem nodig hebben; in andere gevallen herstarten ze hun operatie gewoon met nieuwe malware of een variant van de malware die ze eerder gebruikten. Dat laatste is het geval bij Donot Team-operators, alleen zijn ze opmerkelijk volhardend in hun pogingen.

Volgens ESET-telemetrie heeft Donot Team zich elke twee tot vier maanden consequent op dezelfde entiteiten gericht met golven van spearphishing-e-mails met kwaadaardige bijlagen. Interessant is dat e-mails die we konden ophalen en analyseren geen tekenen van spoofing vertoonden. Sommige e-mails zijn verzonden door dezelfde organisaties die werden aangevallen. Het is mogelijk dat de aanvallers de e-mailaccounts van sommige van hun slachtoffers in eerdere campagnes hebben gecompromitteerd, of de e-mailserver die door die organisaties wordt gebruikt.

Met spearphishing-e-mails gebruiken de aanvallers kwaadaardige Microsoft Office-documenten om hun malware te implementeren. We hebben gezien dat Donot Team minstens drie technieken gebruikt. Een daarvan is macro's in Word-, Excel- en PowerPoint-documenten, zoals het voorbeeld in figuur 2.

Afbeelding 2. Schadelijke macro in een PowerPoint-document die een uitvoerbaar downloadprogramma laat vallen en een geplande taak maakt om het uit te voeren

De tweede techniek zijn RTF-bestanden met .doc extensies die misbruik maken van de kwetsbaarheid voor geheugenbeschadiging CVE-2017-11882 in Vergelijkingseditor, weergegeven in Afbeelding 3. Deze RTF-documenten bevatten ook twee ingesloten DLL's als OLE-objecten (zie Afbeelding 4) die worden gebruikt om verdere componenten te installeren en te downloaden (beide DLL's worden beschreven in de sectie Gedit). Hierdoor kunnen de aanvallers shellcode uitvoeren en is er geen gebruikersinteractie vereist. De shellcode zet de belangrijkste componenten van de malware in.

Afbeelding 3. CLSID van het COM-object dat door het RTF-document wordt gebruikt om de vergelijkingseditor te laden; het daaropvolgende OLE-object bevat de CVE‑2017‑1182 exploit

Afbeelding 4. De OLE-objectheaders van de DLL's die ook zijn ingesloten in het RTF-document

De derde techniek is op afstand: RTF-sjablooninjectie, waarmee de aanvallers een payload kunnen downloaden van een externe server wanneer het RTF-document wordt geopend. Dit wordt bereikt door een URL in te voegen in de optionele *sjabloon stuurwoord van het RTF-bestandsformaat, in plaats van de locatie van een lokale bestandsbron. De payload die Donot Team gebruikt, is een ander document dat misbruik maakt van CVE-2017-11882 en automatisch wordt geladen zodra het is gedownload. Dit is weergegeven in figuur 5.

Afbeelding 5. Wanneer Word een RTF-bestand opent met een externe sjabloon, probeert het automatisch de bron te downloaden

Het yty-malwareframework

Ontdekt door NetScout in 2018 is het yty-malwareframework een minder geavanceerde en slecht ontwikkelde opvolger van een ouder framework genaamd EHDevel. Het yty-framework bestaat uit een keten van downloaders die uiteindelijk een achterdeur downloaden met minimale functionaliteit, die wordt gebruikt om verdere componenten van de toolset van Donot Team te downloaden en uit te voeren.

Deze omvatten bestandsverzamelaars op basis van bestandsextensie en jaar van aanmaak, schermvangers, keyloggers, omgekeerde shells en meer. Zoals te zien is in figuur 6, verzamelen componenten voor exfiltratie de verzamelde informatie uit staging-mappen en uploaden ze elk bestand naar een aangewezen server die alleen voor dit doel wordt gebruikt.

Afbeelding 6. Component die de mapnaam voor staging JPEG-screenshots (links) oplost en exfiltratiecomponent die alle bestanden in de staging-map vindt (rechts)

De namen en locaties van staging-mappen worden bij bijna elke nieuwe campagne gewijzigd, evenals de bestandsnamen van sommige componenten. Er zijn echter gevallen waarin de namen van componenten ongewijzigd zijn gebleven, bijvoorbeeld: gedit.exe, wuaupdt.exe, Lmpss.exe, schijf.exe, onder andere. Zoals te zien is in figuur 7, lijkt het erop dat voor elke nieuwe campagne, om nieuwe paden en bestandsnamen in te stellen, deze waarden in de broncode moeten worden gewijzigd en vervolgens opnieuw moeten worden gecompileerd, aangezien geen van deze componenten een configuratieblok of -bestand gebruikt.

Afbeelding 7. Versleutelde strings met locaties en bestandsnamen die regelmatig worden gewijzigd (bovenaan) en niet-versleutelde waarden die worden gebruikt bij het samenstellen van de C&C-URL (onderaan)

De malware gebruikt geplande taken voor persistentie en wisselt tussen DLL- en EXE-bestanden tussen campagnes. In het geval van DLL's worden geplande taken uitgevoerd rundll32.exe om ze te laden en een van de geëxporteerde functies uit te voeren.

De ontwikkelaars van het yty-framework vertrouwen voornamelijk op de programmeertaal C++. Waarschijnlijk in een poging om detectie te omzeilen, hebben ze hun componenten ook geport naar andere talen zoals VBScript, Python (verpakt met PyInstaller), Visual C# en AutoIt, onder andere. Sinds 2019 hebben we ze echter alleen nog maar gebruik zien maken van componenten die zijn geprogrammeerd in C++ (Figuur 8) en Go (Figuur 9).

Afbeelding 8. Gedecompileerde code van de component die schermafbeeldingen maakt, oorspronkelijk geschreven in C++

Afbeelding 9. Gedecompileerde code van de component die schermafbeeldingen maakt, voor de versie geschreven in Go

De malware gebruikt soms twee of drie servers tijdens de implementatie. Het kan één server gebruiken tijdens zijn keten van downloaders en een andere server die de achterdeur gebruikt om zijn opdrachten te ontvangen en verdere componenten te downloaden, of dezelfde server gebruiken voor beide doeleinden. Voor het uploaden van verzamelde informatie wordt altijd een andere server gebruikt. Bij sommige aanvallen heeft Donot Team C&C-domeinen van eerdere aanvallen hergebruikt, zowel voor downloads als voor exfiltratie. Zoals te zien is in Afbeelding 10, Afbeelding 11 en Afbeelding 12, volgen deze componenten – later beschreven als een variant die we als DonkerMuzikaal – gebruikt bij dezelfde aanval, met drie verschillende C&C-domeinen.

Afbeelding 10. De eerste downloader decodeert de URL van de server waarvan hij de volgende stap van de keten downloadt

Afbeelding 11. In latere stadia gebruikt de achterdeur een andere server voor C&C-communicatie

Figuur 12. De exfiltratiecomponenten gebruiken nog een derde server om de verzamelde bestanden te uploaden

Tijdlijn van aanvallen

Hier beschrijven we de malwarevarianten die zijn gebruikt in recente Donot Team-campagnes, met een focus op hun Windows-malware, vanaf september 2020 tot oktober 2021. Voor de duidelijkheid hebben we ze opgedeeld in twee varianten van het yty-malwareframework: Gedit en DarkMusical, met een specifieke campagne met Gedit die we Henos noemden.

In figuur 13 presenteren we een tijdlijn, volgens onze telemetrie, van de aanvallen. Ook op onze tijdlijn hebben we aanvallen van een andere variant opgenomen, bekend als het “Jaca framework”. We zullen het hier echter niet beschrijven, omdat het hierin uitgebreid is beschreven rapport door CN-SEC.

Afbeelding 13. Tijdlijn van Donot Team-aanvallen van september 2020 tot oktober 2021 volgens ESET-telemetrie

DonkerMuzikaal

Volgens ESET-telemetrie vond de eerste golf van aanvallen waarbij deze variant werd gebruikt plaats in juni 2021, gericht op militaire organisaties in Bangladesh. We konden alleen de keten van downloaders en de belangrijkste achterdeur herstellen. Gezien het kleine aantal slachtoffers denken we dat dit een zeer gerichte aanval kan zijn geweest.

In september maakte een tweede golf van aanvallen die gericht waren op militaire organisaties in Nepal gebruik van nieuwe C&C-servers en bestands- en staging-mapnamen. We hebben een aantal componenten kunnen herstellen die via de achterdeur zijn gedownload, dus hebben we besloten deze aanvallen te beschrijven.

Spearphishing-e-mails werden verzonden met PowerPoint-documenten die een macro bevatten die het eerste onderdeel van een reeks downloaders implementeert en volhardt met behulp van een geplande taak. Wanneer potentiële slachtoffers deze documenten openen, krijgen ze een valse foutmelding te zien, zoals te zien is in figuur 14, en de documenten blijven verstoken van enige zichtbare inhoud.

Afbeelding 14. Screenshot van een leeg, kwaadaardig PowerPoint-document

Zoals te zien is in figuur 15, probeert de keten van downloaders een laatste component te downloaden die werkt als een achterdeur met minimale functionaliteit: het downloadt zelfstandige componenten, voert ze uit met behulp van de ShellExecute Windows API, nieuwe C&C-URL's ophalen en opslaan.

De achterdeur downloadt de componenten die de verzameling en exfiltratie van informatie afhandelen naar een speciale server. Deze componenten communiceren niet met de achterdeur of de C&C om over hun activiteiten te rapporteren. In plaats daarvan gebruiken ze een aangewezen map voor de enscenering van de gegevens, en een aparte exfiltratiecomponent verzamelt alles en uploadt het.

Figuur 15. Waargenomen compromisketen voor DarkMusical

We besloten deze campagne DarkMusical te noemen vanwege de namen die de aanvallers voor hun bestanden en mappen kozen: velen zijn westerse beroemdheden of personages in de film High School Musical. Tabel 1 beschrijft kort het doel van elk van de componenten in de compromisketen.

Tabel 1. Componenten in de DarkMusical-campagneketen van compromis

Bestandsnaam Omschrijving
rihana.exe Dit uitvoerbare bestand wordt verwijderd door het kwaadaardige document om %public%Musicrihana.exe en volharding vastgesteld via een geplande taak genaamd moet.
 
Downloadt bestand naar %public%Musicacrobat.dll en zet een BAT-bestand neer op %public%Musicsidilieicaliei.bat.
 
Het BAT-bestand roept schtasks.exe om de te maken hmmci geplande taak om uit te voeren rundll32.exe %public%Musicacrobat.dll, nikioioioolla.
acrobaat.dll Downloadt bestand en slaat het op als %openbaar%Musicswift
 
Bovendien, kan een systeeminfo.exe commando waarvan de uitvoer wordt omgeleid naar %public%Muziekjustin. De inhoud van het bestand wordt naar de C&C-server gestuurd.
 
Dropt en voert het bestand uit %public%Musicjanifer.bat die verschillende taken uitvoert:
 • Maakt de mappen Troy, Gabriella en Taylor in %public%Muziek Met archief, verborgen en system attributen.
 • Maakt twee geplande taken:
  - scmos uitvoeren %public%MusicTroyforbidden.exe
  - msoudatee dat uitvoert %public%MusicGabriellaremember.exe
 • Verplaatst de snel bestand in de Gabriella map en hernoemt deze naar onthoud.exe
 • Pogingen om te verwijderen acrobaat.dll en rihana.exe
 • Verwijdert de geplande taken met de naam hmmci en moet
 • Verwijdert zichzelf
onthoud.exe Downloadt bestand naar %public%MusicTroyforbidden.exe
verboden.exe Gebruikt de URL die is opgeslagen in %public%MuziekTaylorflag het dossier; als er geen URL is, gebruikt deze de standaard-URL.
 
Accepteert drie commando's:
 • URL instellen in de vlag filet
 • Bestand uitvoeren met ShellExecute Windows API
 • Bestand downloaden naar %public%MuziekTaylor

In Tabel 2 beschrijven we het doel van elk onderdeel van de toolset van de aanvaller.

Tabel 2. Beschrijving van componenten in de toolset van de aanvaller voor DarkMusical

Bestandsnaam Omschrijving
serviceup.exe Omgekeerde schelpen
sdudate.exe
srcot.exe Maakt screenshots, slaat ze op in %public%MuziekSymfonie
Drie varianten van nDExiD.exe Verzamelt bestanden die in 2021 en daarna zijn gemaakt en kopieert ze naar de staging-map %public%MuziekSymfonie

Verzamelt bestanden op extensie: dok, docx, eml, in P, jpeg, jpg, msg, odt, pdf, pps, psx, ppt, PPTX, rtf, txt, xls, xlsx

Hetzelfde als hierboven, maar bestanden moeten in 2020 of later zijn gemaakt.
Bestandsverzamelaar die het plaatsen van USB-drives en wijzigingen in het bestandssysteem controleert. Verzamelt dezelfde documenten op extensie als hierboven, maar bevat ook bestanden met extensies: document, mbox, pst
upsvcsu.exe Exfiltreert verzamelde bestanden.

Opsomt alle bestanden in %public%MuziekSymfonie en uploadt diegene die overeenkomen met de extensies: dok, docx, eml, in P, jpeg, jpg, msg, odt, pdf, pps, psx, ppt, PPTX, rtf, txt, xls, xlsx

gedit

We ontdekten de eerste aanvallen van de campagne met behulp van Gedit in september 2020, tegen organisaties in Pakistan die al het doelwit waren van spearphishing en kwaadaardige RTF-documenten die het Jaca-framework hadden geïnstalleerd. Sindsdien richtte Donot Team zich op doelen in Bangladesh, Nepal en Sri Lanka. De malware is duidelijk afgeleid van het yty-malwareframework, maar is duidelijk genoeg om te worden gescheiden van DarkMusical.

We konden een spearphishing-e-mail ophalen die overeenkomt met een Gedit-campagne die plaatsvond in februari 2021, wat wordt weergegeven in afbeelding 16. De eerste bijlage bevatte een lijst met personeel van een militaire entiteit in Bangladesh (en geen kwaadaardige inhoud). De tweede bijlage toonde niets anders dan een lege pagina, terwijl kwaadaardige code werd uitgevoerd.

Afbeelding 16. Screenshot van een spearphishing-e-mail die door de aanvallers is verzonden

We kunnen zien dat de grootte van het tweede bestand groter is dan 2 MB. Het is een RTF-bestand dat misbruik maakt van CVE-2017-11882 om twee DLL-bestanden in het document te verwijderen en een ervan uit te voeren. Andere componenten worden in verschillende fasen naar de besmette computer gedownload. Een overzicht van deze aanvalsketen en zijn malwarecomponenten wordt getoond in figuur 17.

Afbeelding 17. Compromisketen in Gedit-campagnes

De componenten zijn gecodeerd in Go en C++ (met MinGW- en Visual Studio-compilers). We hebben ervoor gekozen om de gebruikte componenten in die campagne in februari 2021 te beschrijven, die worden weergegeven in Tabel 3.

Tabel 3. Beschrijving van componenten voor Gedit-variant

Bestandsnaam Omschrijving
vbtr.dll Verplaatst het bestand %TEMP%bcs01276.tmp naar %USERPROFILE%Documentenmsdn022.dll

Creëert een geplande taak MobUpdate uitvoeren rundll32.exe %USERPROFILE%Documentenmsdn022.dll,iorpiyhduj

msdn022.dll Downloadt een bestand naar %APPDATA%mscx01102 (later hernoemd naar Winhlp.exe).

Schrijft en voert uit %APPDATA%test.bat, welke:
 • Schrijft - naar %USERPROFILE%Policyen-usFileswizard
 • Creëert de geplande taak Taakupdate uitvoeren %USERPROFILE%infboostOOOnprint.exe
 • Creëert de geplande taak Machinekern uitvoeren %USERPROFILE%CursorSizeDatesWinhlp.exe

Winhlp.exe Downloadt een bestand naar %USERPROFILE%infboostOOOnprint.exe (als het niet bestaat of als het kleiner is dan 50 kB).
nprint.exe Stuurt een verzoek naar een server en afhankelijk van het antwoord kunnen drie acties worden uitgevoerd:
 • Als qwertyuiop staat in de antwoordheaders, dan wordt een bestand gedownload naar %USERPROFILE%Policyen-usActive, Waar wordt ook gelezen uit de headers
 • Als asdfghjklzx is in de antwoordheaders, dan probeert het uit te voeren %USERPROFILE%Policyen-usActivewuaupdt.exe
 • Als zxcvbnmlkjhgfd is in de antwoordheaders, dan probeert het uit te voeren %USERPROFILE%Policyen-usActivetest.bat
 
Als een bestand %USERPROFILE%Policyen-usFileswizard bestaat, wordt de URL van de server daar opgehaald en gebruikt in plaats van degene die is opgenomen in het uitvoerbare bestand.
wuaupdt.exe Omgekeerde schaal.
Lmpss.exe Maakt screenshots en slaat ze op, in een oneindige lus, om %USERPROFILE%RemoteDeskApps
innod.exe Bestand verzamelaar. Itereert recursief door schijven en logt interessante bestanden naar %USERPROFILE%Policyen-usFilesnohiucf. Bestanden worden gekopieerd naar %USERPROFILE%RemoteDeskApps

Zoekt bestanden met de extensies: dok, docx, xls, xlsx, ppt, pps, PPTX, psx, pdf, in P, msg, jpg, jpeg, png, txt

Exclusief de volgende bestanden/mappen: ., .., neehiucf, Dakramen en raamkozijnen, Recente plaatsen, Tembestand, Programma Bestanden, Programma Bestanden (X86), ProgramData, Microsoft, Pakketcache

Dit onderdeel loopt in een oneindige lus, waarbij schijven worden herhaald vanaf C: naar H:

gedit.exe Verzendt verzamelde bestanden naar een server. Alle bestanden die in %USERPROFILE%RemoteDeskApps worden één voor één ongecodeerd verzonden. Er is geen controle op verlenging, behalve exclusief . en ..

De slachtofferidentificatie waarnaar is geschreven: %USERPROFILE%Policyen-usFileswizard wordt aan de URL toegevoegd. Als het bestand niet bestaat, dan is de standaardstring HeloBSiamabcferss in plaats daarvan wordt gebruikt. User-agent is: Als mensen twijfelen hoe ver je kunt gaan, ga dan zo ver dat je ze niet meer kunt horen. Michele Ruiz.

Het creëert een systeemgebeurtenis aaaaaaaaa om ervoor te zorgen dat er slechts één exemplaar van het onderdeel tegelijk wordt uitgevoerd.

Henos-campagne

Ten slotte is het vermeldenswaard een golf van aanvallen die plaatsvond tussen februari en maart 2021, gericht op militaire organisaties in Bangladesh en Sri Lanka. Deze aanvallen maakten gebruik van de Gedit-variant van de malware, maar met enkele kleine aanpassingen. Daarom hebben we besloten om deze campagne Henos in onze tijdlijn te noemen, naar de achterdeur DLL - henos.dll.

Monsters van componenten van deze aanvalsgolf werden in februari ook online gemeld, wat waarschijnlijk verklaart waarom de groep de componenten niet opnieuw heeft gebruikt (zie deze tweet door onderzoekers van de Shadow Chaser Group, bijvoorbeeld).

Hoewel we de bijbehorende spearphishing-e-mails of kwaadaardige documenten niet hebben gevonden, is de aanvalsketen vermoedelijk hetzelfde als hierboven beschreven, met enkele kleine verschillen in de manier waarop de componenten worden uitgevoerd. Een overzicht hiervan is te zien in figuur 18.

Afbeelding 18. Compromisketen van de Henos-campagne

Hoewel sommige componenten van deze campagne een naam hebben: javatemp.exe en pytemp.exe, zijn deze bestandsnamen waarschijnlijk alleen gekozen in een poging om legitieme software zoals Java of Python na te bootsen. Terwijl pytemp.exe en plakas.exe werden gecodeerd in de Go-taal, javatemp.exe werd gecodeerd in C++ (gecompileerd met MinGW).

Een laatste opmerking is dat de component die exfiltratie van bestanden uitvoert, pytemp.exe, voert een controle uit om te zien of gedit.exe is aan het rennen. Als er twee of meer instanties worden gevonden, wordt het afgesloten. We zijn van mening dat dit een fout is van de programmeurs, zoals het zou moeten controleren pytemp.exe in plaats van. Deze simpele fout helpt ons echter de Henos-campagne te koppelen aan de Gedit-variant van de malware (toegevoegd aan code-overeenkomst).

Conclusie

Donot Team compenseert zijn lage verfijning met vasthoudendheid. We verwachten dat het ondanks de vele tegenslagen zal blijven doorzetten. Alleen de tijd zal leren of de groep zijn huidige TTP's en malware ontwikkelt.

Neem voor vragen of om voorbeeldinzendingen met betrekking tot het onderwerp in te dienen, contact met ons op via threatintel@eset.com.

Indicatoren van compromis (IoC's)

Een uitgebreide lijst van Indicators of Compromise (IoC's) en voorbeelden vindt u in onze GitHub-repository.

Gedit – Oktober 2021

Stalen

SHA-1 Bestandsnaam ESET-detectienaam
78E82F632856F293BDA86D77D02DF97EDBCDE918 cdc.dll Win32/TrojanDownloader.Donot.C
D9F439E7D9EE9450CD504D5791FC73DA7C3F7E2E wbiosr.exe Win32/TrojanDownloader.Donot.D
CF7A56FD0613F63418B9DF3E2D7852FBB687BE3F vdsc.exe Win32/TrojanDownloader.Donot.E
B2263A6688E512D90629A3A621B2EE003B1B959E wuaupdt.exe Win32/ReverseShell.J
13B785493145C85B005E96D5029C20ACCFFE50F2 gedit.exe Win32/Spy.Donot.A
E2A11F28F9511753698BA5CDBAA70E8141C9DFC3 wscs.exe Win32/Spy.Donot.B
F67ABC483EE2114D96A90FA0A39496C42EF050B5 gedit.exe Win32/Spy.Donot.B

Netwerk

Servers downloaden

  • https://request.soundedge[.]live/access/nasrzolofuju
  • https://request.soundedge[.]live/access/birkalirajliruajirjiairuai
  • https://share.printerjobs[.]xyz/id45sdjscj/<VICTIM_ID>

Exfiltratie server

  • https://submin.seasonsbackup[.]xyz/backup/<VICTIM_ID>

Omgekeerde shell-server

  • 80.255.3[.]67

Gedit – juli 2021

Stalen

SHA-1 Bestandsnaam ESET-detectienaam
A71E70BA6F3CD083D20EDBC83C72AA823F31D7BF hxedit.exe Win32/TrojanDownloader.Donot.N
E101FB116F05B7B69BD2CAAFD744149E540EC6E9 Lmpss.exe Win64/HackTool.Ligolo.A
89D242E75172C79E2F6FC9B10B83377D940AE649 gedit.exe WinGo/Spy.Donot.A
B42FEFE2AB961055EA10D445D9BB0906144647CE gedit.exe WinGo/Spy.Donot.A
B0704492382186D40069264C0488B65BA8222F1E schijf.exe Win32/Spy.Donot.L
1A6FBD2735D3E27ECF7B5DD5FB6A21B153FACFDB schijf.exe Win32/Spy.Donot.A
CEC2A3B121A669435847ADACD214BD0BE833E3AD schijf.exe Win32/Spy.Donot.M
CBC4EC0D89FA7A2AD1B1708C5A36D1E304429203 schijf.exe Win32/Spy.Donot.A
9371F76527CA924163557C00329BF01F8AD9E8B7 gedit.exe Win32/Spy.Donot.J
B427744B2781BC344B96907BF7D68719E65E9DCB wuaupdt.exe Win32/TrojanDownloader.Donot.W

Netwerk

Downloadserver

  • request.submitonline[.]club/orderme/

Exfiltratie servers

  • oceaanonderzoek[.]club/upload/
  • verzoek.soundedge[.]live/ /uload

Omgekeerde shell-servers

  • 80.255.3[.]67
  • 37.48.122[.]145

Gedit – februari/maart 2021

Stalen

SHA-1 Bestandsnaam ESET-detectienaam
A15D011BED98BCE65DB597FFD2D5FDE49D46CFA2 BN_Webmail_Lijst 2020.doc Win32/Exploit.Agent.UN
6AE606659F8E0E19B69F0CB61EB9A94E66693F35 vbtr.dll Win32/Spy.Donot.G
0290ABF0530A2FD2DFB0DE29248BA3CABB58D2AD bcs01276.tmp (msdn022.dll) Win32/TrojanDownloader.Donot.P
66BA21B18B127DAA47CB16AB1F2E9FB7DE3F73E0 Winhlp.exe Win32/TrojanDownloader.Donot.J
79A5B10C5214B1A3D7CA62A58574346C03D54C58 nprint.exe Win32/TrojanDownloader.Donot.K
B427744B2781BC344B96907BF7D68719E65E9DCB wuaupdt.exe Win32/TrojanDownloader.Donot.W
E423A87B9F2A6DB29B3BA03AE7C4C21E5489E069 Lmpss.exe WinGo/Spy.Donot.B
F43845843D6E9FB4790BF70F1760843F08D43790 innod.exe Win32/Spy.Donot.G
4FA31531108CC68FF1865E2EB5654F7B3DA8D820 gedit.exe Win32/Spy.Donot.G

Netwerk

Servers downloaden

  • firm.tplinkupdates[.]space/8ujdfuyer8d8f7d98jreerje
  • firma.tplinkupdates[.]space/yu37hfgde64jskeruqbrgx
  • space.lovingallupdates[.]life/orderme

Exfiltratie server

  • oceansurvey.club/upload/

Omgekeerde shell-server

  • 80.255.3[.]67

Gedit – september 2020

Stalen

SHA-1 Bestandsnaam ESET-detectienaam
49E58C6DE5245796AEF992D16A0962541F1DAE0C Lmpss.exe Win32/Spy.Donot.H
6F38532CCFB33F921A45E67D84D2796461B5A7D4 prodot.exe Win32/TrojanDownloader.Donot.K
FCFEE44DA272E6EB3FC2C071947DF1180F1A8AE1 prodot.exe Win32/TrojanDownloader.Donot.S
7DDF48AB1CF99990CB61EEAEB3ED06ED8E70A81B gedit.exe Win32/TrojanDownloader.Donot.AA
DBC8FA70DFED7632EA21B9AACA07CC793712BFF3 schijf.exe Win32/Spy.Donot.I
CEF05A2DAB41287A495B9413D33F14D94A568C83 wuaupdt.exe Win32/Spy.Donot.A
E7375B4F37ECEA77FDA2CEA1498CFB30A76BACC7 prodot.exe Win32/TrojanDownloader.Donot.AA
771B4BEA921F509FC37016F5FA22890CA3338A65 apic.dll Win32/TrojanDownloader.Donot.A
F74E6C2C0E26997FDB4DD89AA3D8BD5B270637CC njhy65tg.dll Win32/TrojanDownloader.Donot.O

Netwerk

Servers downloaden

  • soundvista[.]club/sessieverzoek
  • soundvista[.]club/orderme/
  • soundvista[.]club/wingebruiker

Exfiltratie server

  • request.resolverequest[.]live/upload/ -

Omgekeerde shell-server

  • 80.255.3[.]67

DarkMusical – september 2021

Stalen

SHA-1 Bestandsnaam ESET-detectienaam
1917316C854AF9DA9EBDBD4ED4CBADF4FDCFA4CE rihana.exe Win32/TrojanDownloader.Donot.G
6643ACD5B07444D1B2C049BDE61DD66BEB0BD247 acrobaat.dll Win32/TrojanDownloader.Donot.F
9185DEFC6F024285092B563EFA69EA410BD6F85B onthoud.exe Win32/TrojanDownloader.Donot.H
954CFEC261FEF2225ACEA6D47949D87EFF9BAB14 verboden.exe Win32/TrojanDownloader.Donot.I
7E9A4A13A76CCDEC880618BFF80C397790F3CFF3 serviceup.exe Win32/ReverseShell.J
BF183A1EC4D88034D2AC825278FB084B4CB21EAD srcot.exe Win32/Spy.Donot.F
1FAA4A52AA84EDB6082DEA66F89C05E0F8374C4C upsvcsu.exe WinGo/Spy.Donot.A
2F2EA73B5EAF9F47DCFB7BF454A27A3FBF253A1E sdudate.exe Win32/ReverseShell.J
39F92CBEC05785BF9FF28B7F33906C702F142B90 ndexid.exe Win32/Spy.Donot.C
1352A8394CCCE7491072AAAC9D19ED584E607757 ndexid.exe Win32/Spy.Donot.E
623767BC142814AB28F8EC6590DC031E7965B9CD ndexid.exe Win32/Spy.Donot.A

Netwerk

Servers downloaden

  • digitaal oplossen[.]live/ ~ ~ /ekcvilsrkjiasfjkikiakik
  • digitaal oplossen[.]live/ ~ ~ /ziuriucjiekuiemoaeukjudjkgfkkj
  • digitaal oplossen[.]live/ ~ ~ /Sqieilcioelikalik
  • printeroplossingen[.]live/ ~ ~ /bestel mij

Exfiltratie server

  • pakketbeet[.]live/ ~ ~ /uload

Omgekeerde shell-servers

  • 37.120.198[.]208
  • 51.38.85[.]227

DarkMusical – juni 2021

Stalen

SHA-1 Bestandsnaam ESET-detectienaam
BB0C857908AFC878CAEEC3A0DA2CBB0A4FD4EF04

6194E0ECA5D494980DF5B9AB5CEA8379665ED46A

ertficial.dll Win32/TrojanDownloader.Donot.X
ACB4DF8708D21A6E269D5E7EE5AFB5168D7E4C70 msofficedll.dll Win32/TrojanDownloader.Donot.L
B38F3515E9B5C8F4FB78AD17C42012E379B9E99A sccmo.exe Win32/TrojanDownloader.Donot.M
60B2ADE3B339DE4ECA9EC3AC1A04BDEFC127B358 pscmo.exe Win32/TrojanDownloader.Donot.I

Netwerk

Servers downloaden

  • bijtupdates[.]live/ ~ ~ /bestel mij
  • bijtupdates[.]live/ ~ ~ /KdkdUe7KmmGFD
  • bijtupdates[.]live/ ~ ~ /acdfsgbvdghd
  • gegevensupdates[.]live/ ~ ~ /DKixeXs44skdqqD
  • gegevensupdates[.]live/ ~ ~ /BcX21DKixeXs44skdqqD

Henos – februari/maart 2021

Stalen

SHA-1 Bestandsnaam ESET-detectienaam
468A04B358B780C9CC3174E107A8D898DDE4B6DE Aankoopbrief 21 feb.doc Win32/Exploit.CVE-2017-11882.CP
9DD042FC83119A02AAB881EDB62C5EA3947BE63E ctlm.dll Win32/Spy.Donot.N
25825268868366A31FA73095B0C5D0B696CD45A2 stpnaqs.pmt (jptvbh.exe) Win32/TrojanDownloader.Donot.Z
540E7338725CBAA2F33966D5C1AE2C34552D4988 henos.dll Win32/Spy.Donot.G
526E5C25140F7A70BA9F643ADA55AE24939D10AE plakas.exe WinGo/Spy.Donot.B
89ED760D544CEFC6082A3649E8079EC87425FE66 javatemp.exe Win32/Spy.Donot.G
9CA5512906D43EB9E5D6319E3C3617182BBF5907 pytemp.exe WinGo/Spy.Donot.A

Netwerk

Servers downloaden

  • info.printerupdates[.]online/ /Xddv21SDsxDl
  • info.printerupdates[.]online/ ~ /XddvInXdl
  • info.printerupdates[.]online/ ~ /ZuDDey1eDXUl
  • info.printerupdates[.]online/ ~ /Vyuib45xzlqn

Exfiltratie server

  • https://manage.biteupdates[.]site/<PC_NAME>/uload

MITRE ATT&CK-technieken

Deze tafel is gemaakt met behulp van versie 10 van het ATT&CK-raamwerk.

Tactiek ID Naam Omschrijving
Ontwikkeling van hulpbronnen T1588.005 Mogelijkheden verkrijgen: Exploits Donot Team heeft CVE‑2017-11882 exploits gebruikt om zijn malware van de eerste fase uit te voeren.
Eerste toegang T1566.001 Phishing: Spearphishing-bijlage Donot Team heeft spearphishing-e-mails naar zijn slachtoffers gestuurd met kwaadaardige Word- of PowerPoint-bijlagen.
Uitvoering T1204.002 Uitvoering door gebruiker: kwaadaardig bestand Donot Team heeft zijn slachtoffers gelokt om kwaadaardige e-mailbijlagen te openen.
T1059.005 Opdracht- en scriptinterpreter: Visual Basic Donot Team heeft macro's gebruikt die in Power Point-documenten staan.
T1059.003 Opdracht- en scriptinterpreter: Windows Command Shell Donot Team heeft reverse shells op het systeem gebruikt om opdrachten uit te voeren.
T1203 Exploitatie voor Client Execution Donot Team heeft CVE-2017-11882 exploits gebruikt om code uit te voeren op de computer van het slachtoffer.
Volharding T1053.005 Geplande taak/taak: geplande taak Donot Team heeft geplande taken gemaakt voor de persistentie van zijn kwaadaardige componenten.
verdediging ontduiking T1036.005 Maskerade: match legitieme naam of locatie Donot Team heeft bestandsnamen gebruikt zoals: pytemp or javatemp om de naam van legitieme software te benaderen.
De reis van mijn leven T1057 Procesopsporing Donot Team heeft controles geïmplementeerd voor oudere versies van de malware die op het systeem van het slachtoffer draaien.
Zijwaartse beweging T1534 Interne spearphishing Donot Team heeft spearphishing-e-mails naar hun slachtoffers gestuurd die afkomstig waren van dezelfde gerichte organisatie.
Collectie T1005 Gegevens van lokaal systeem Donot Team heeft kwaadaardige modules gebruikt die het bestandssysteem van het slachtoffer doorkruisen op zoek naar bestanden met verschillende extensies.
T1025 Gegevens van verwisselbare media Donot Team heeft een kwaadaardige module gebruikt om bestanden van verwisselbare schijven te kopiëren.
T1074.001 Gefaseerde gegevens: Staging van lokale gegevens Donot Team heeft bestanden voor exfiltratie geënsceneerd op een enkele locatie, een map op de computer van het slachtoffer.
T1113 Screen Capture Donot Team heeft kwaadaardige modules gebruikt om schermafbeeldingen van slachtoffers te maken.
Command and Control T1071.001 Applicatielaagprotocol: webprotocollen Donot Team heeft HTTP/S gebruikt voor C&C-communicatie en gegevensexfiltratie.
exfiltratie T1048.003 Exfiltratie via alternatief protocol: exfiltratie via niet-versleuteld/‌verduisterd niet-C2-protocol Donot Team heeft speciale servers gebruikt voor exfiltratie, waarbij de gegevens onversleuteld via HTTP of HTTPS worden verzonden.

Bron: https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/

spot_img

Laatste intelligentie

spot_img