ESET-onderzoekers onderzoeken de recente aanvallen van het Donot Team in 2020 en 2021, gericht op regeringen en militaire entiteiten in verschillende Zuid-Aziatische landen
Donot Team (ook bekend als APT-C-35 en SectorE02) is een dreigingsactor die ten minste sinds 2016 actief is en bekend staat om zijn aanvallen op organisaties en individuen in Zuid-Azië met Windows- en Android-malware. Een recent rapport van Amnesty International koppelt de malware van de groep aan een Indiaas cyberbeveiligingsbedrijf dat mogelijk de spyware verkoopt of een hacker-for-hire-service aanbiedt aan regeringen van de regio.
We hebben de activiteiten van Donot Team nauwlettend gevolgd en hebben verschillende campagnes getraceerd die gebruikmaken van Windows-malware die is afgeleid van de handtekening van de groep yty malware-framework. Volgens onze bevindingen is de groep zeer vasthoudend en heeft ze zich de afgelopen twee jaar consequent op dezelfde organisaties gericht.
In deze blogpost documenteren we twee varianten van de malware die in recente campagnes is gebruikt: DarkMusical en Gedit. Voor elk van de varianten analyseren we de hele aanvalsketen en geven we inzicht in hoe de groep zijn tools, tactieken en technieken bijwerkt.
Doelen
De campagnes van Donot Team worden gemotiveerd door spionage, met behulp van hun kenmerkende malware: het "yty" malware-framework, waarvan het hoofddoel is om gegevens te verzamelen en te exfiltreren. Volgens onze telemetrie richt het Donot-team zich op een klein aantal doelen in Zuid-Azië - Bangladesh, Sri Lanka, Pakistan en Nepal - zoals te zien is in figuur 1.
Deze aanvallen zijn gericht op:
- Overheid en militaire organisaties
- Ministeries van Buitenlandse Zaken
- Ambassades
Zo ver gaan om ambassades van deze landen in andere regio's te targeten, zoals het Midden-Oosten, Europa, Noord-Amerika en Latijns-Amerika, valt ook niet buiten het domein van Donot Team.
Probeer, probeer, probeer opnieuw
Het is niet zeldzaam dat APT-operators proberen om weer toegang te krijgen tot een gecompromitteerd netwerk nadat ze eruit zijn verwijderd. In sommige gevallen wordt dit bereikt door de inzet van een onopvallende achterdeur die stil blijft totdat de aanvallers hem nodig hebben; in andere gevallen herstarten ze hun operatie gewoon met nieuwe malware of een variant van de malware die ze eerder gebruikten. Dat laatste is het geval bij Donot Team-operators, alleen zijn ze opmerkelijk volhardend in hun pogingen.
Volgens ESET-telemetrie heeft Donot Team zich elke twee tot vier maanden consequent op dezelfde entiteiten gericht met golven van spearphishing-e-mails met kwaadaardige bijlagen. Interessant is dat e-mails die we konden ophalen en analyseren geen tekenen van spoofing vertoonden. Sommige e-mails zijn verzonden door dezelfde organisaties die werden aangevallen. Het is mogelijk dat de aanvallers de e-mailaccounts van sommige van hun slachtoffers in eerdere campagnes hebben gecompromitteerd, of de e-mailserver die door die organisaties wordt gebruikt.
Met spearphishing-e-mails gebruiken de aanvallers kwaadaardige Microsoft Office-documenten om hun malware te implementeren. We hebben gezien dat Donot Team minstens drie technieken gebruikt. Een daarvan is macro's in Word-, Excel- en PowerPoint-documenten, zoals het voorbeeld in figuur 2.
De tweede techniek zijn RTF-bestanden met .doc extensies die misbruik maken van de kwetsbaarheid voor geheugenbeschadiging CVE-2017-11882 in Vergelijkingseditor, weergegeven in Afbeelding 3. Deze RTF-documenten bevatten ook twee ingesloten DLL's als OLE-objecten (zie Afbeelding 4) die worden gebruikt om verdere componenten te installeren en te downloaden (beide DLL's worden beschreven in de sectie Gedit). Hierdoor kunnen de aanvallers shellcode uitvoeren en is er geen gebruikersinteractie vereist. De shellcode zet de belangrijkste componenten van de malware in.
De derde techniek is op afstand: RTF-sjablooninjectie, waarmee de aanvallers een payload kunnen downloaden van een externe server wanneer het RTF-document wordt geopend. Dit wordt bereikt door een URL in te voegen in de optionele *sjabloon stuurwoord van het RTF-bestandsformaat, in plaats van de locatie van een lokale bestandsbron. De payload die Donot Team gebruikt, is een ander document dat misbruik maakt van CVE-2017-11882 en automatisch wordt geladen zodra het is gedownload. Dit is weergegeven in figuur 5.
Het yty-malwareframework
Ontdekt door NetScout in 2018 is het yty-malwareframework een minder geavanceerde en slecht ontwikkelde opvolger van een ouder framework genaamd EHDevel. Het yty-framework bestaat uit een keten van downloaders die uiteindelijk een achterdeur downloaden met minimale functionaliteit, die wordt gebruikt om verdere componenten van de toolset van Donot Team te downloaden en uit te voeren.
Deze omvatten bestandsverzamelaars op basis van bestandsextensie en jaar van aanmaak, schermvangers, keyloggers, omgekeerde shells en meer. Zoals te zien is in figuur 6, verzamelen componenten voor exfiltratie de verzamelde informatie uit staging-mappen en uploaden ze elk bestand naar een aangewezen server die alleen voor dit doel wordt gebruikt.
De namen en locaties van staging-mappen worden bij bijna elke nieuwe campagne gewijzigd, evenals de bestandsnamen van sommige componenten. Er zijn echter gevallen waarin de namen van componenten ongewijzigd zijn gebleven, bijvoorbeeld: gedit.exe, wuaupdt.exe, Lmpss.exe, schijf.exe, onder andere. Zoals te zien is in figuur 7, lijkt het erop dat voor elke nieuwe campagne, om nieuwe paden en bestandsnamen in te stellen, deze waarden in de broncode moeten worden gewijzigd en vervolgens opnieuw moeten worden gecompileerd, aangezien geen van deze componenten een configuratieblok of -bestand gebruikt.
De malware gebruikt geplande taken voor persistentie en wisselt tussen DLL- en EXE-bestanden tussen campagnes. In het geval van DLL's worden geplande taken uitgevoerd rundll32.exe om ze te laden en een van de geëxporteerde functies uit te voeren.
De ontwikkelaars van het yty-framework vertrouwen voornamelijk op de programmeertaal C++. Waarschijnlijk in een poging om detectie te omzeilen, hebben ze hun componenten ook geport naar andere talen zoals VBScript, Python (verpakt met PyInstaller), Visual C# en AutoIt, onder andere. Sinds 2019 hebben we ze echter alleen nog maar gebruik zien maken van componenten die zijn geprogrammeerd in C++ (Figuur 8) en Go (Figuur 9).
De malware gebruikt soms twee of drie servers tijdens de implementatie. Het kan één server gebruiken tijdens zijn keten van downloaders en een andere server die de achterdeur gebruikt om zijn opdrachten te ontvangen en verdere componenten te downloaden, of dezelfde server gebruiken voor beide doeleinden. Voor het uploaden van verzamelde informatie wordt altijd een andere server gebruikt. Bij sommige aanvallen heeft Donot Team C&C-domeinen van eerdere aanvallen hergebruikt, zowel voor downloads als voor exfiltratie. Zoals te zien is in Afbeelding 10, Afbeelding 11 en Afbeelding 12, volgen deze componenten – later beschreven als een variant die we als DonkerMuzikaal – gebruikt bij dezelfde aanval, met drie verschillende C&C-domeinen.
Tijdlijn van aanvallen
Hier beschrijven we de malwarevarianten die zijn gebruikt in recente Donot Team-campagnes, met een focus op hun Windows-malware, vanaf september 2020 tot oktober 2021. Voor de duidelijkheid hebben we ze opgedeeld in twee varianten van het yty-malwareframework: Gedit en DarkMusical, met een specifieke campagne met Gedit die we Henos noemden.
In figuur 13 presenteren we een tijdlijn, volgens onze telemetrie, van de aanvallen. Ook op onze tijdlijn hebben we aanvallen van een andere variant opgenomen, bekend als het “Jaca framework”. We zullen het hier echter niet beschrijven, omdat het hierin uitgebreid is beschreven rapport door CN-SEC.
DonkerMuzikaal
Volgens ESET-telemetrie vond de eerste golf van aanvallen waarbij deze variant werd gebruikt plaats in juni 2021, gericht op militaire organisaties in Bangladesh. We konden alleen de keten van downloaders en de belangrijkste achterdeur herstellen. Gezien het kleine aantal slachtoffers denken we dat dit een zeer gerichte aanval kan zijn geweest.
In september maakte een tweede golf van aanvallen die gericht waren op militaire organisaties in Nepal gebruik van nieuwe C&C-servers en bestands- en staging-mapnamen. We hebben een aantal componenten kunnen herstellen die via de achterdeur zijn gedownload, dus hebben we besloten deze aanvallen te beschrijven.
Spearphishing-e-mails werden verzonden met PowerPoint-documenten die een macro bevatten die het eerste onderdeel van een reeks downloaders implementeert en volhardt met behulp van een geplande taak. Wanneer potentiële slachtoffers deze documenten openen, krijgen ze een valse foutmelding te zien, zoals te zien is in figuur 14, en de documenten blijven verstoken van enige zichtbare inhoud.
Zoals te zien is in figuur 15, probeert de keten van downloaders een laatste component te downloaden die werkt als een achterdeur met minimale functionaliteit: het downloadt zelfstandige componenten, voert ze uit met behulp van de ShellExecute Windows API, nieuwe C&C-URL's ophalen en opslaan.
De achterdeur downloadt de componenten die de verzameling en exfiltratie van informatie afhandelen naar een speciale server. Deze componenten communiceren niet met de achterdeur of de C&C om over hun activiteiten te rapporteren. In plaats daarvan gebruiken ze een aangewezen map voor de enscenering van de gegevens, en een aparte exfiltratiecomponent verzamelt alles en uploadt het.
We besloten deze campagne DarkMusical te noemen vanwege de namen die de aanvallers voor hun bestanden en mappen kozen: velen zijn westerse beroemdheden of personages in de film High School Musical. Tabel 1 beschrijft kort het doel van elk van de componenten in de compromisketen.
Tabel 1. Componenten in de DarkMusical-campagneketen van compromis
Bestandsnaam | Omschrijving |
---|---|
rihana.exe | Dit uitvoerbare bestand wordt verwijderd door het kwaadaardige document om %public%Musicrihana.exe en volharding vastgesteld via een geplande taak genaamd moet. Downloadt bestand naar %public%Musicacrobat.dll en zet een BAT-bestand neer op %public%Musicsidilieicaliei.bat. Het BAT-bestand roept schtasks.exe om de te maken hmmci geplande taak om uit te voeren |
acrobaat.dll | Downloadt bestand en slaat het op als %openbaar%Musicswift Bovendien, kan een systeeminfo.exe commando waarvan de uitvoer wordt omgeleid naar %public%Muziekjustin. De inhoud van het bestand wordt naar de C&C-server gestuurd. Dropt en voert het bestand uit %public%Musicjanifer.bat die verschillende taken uitvoert: • Maakt twee geplande taken: - scmos uitvoeren %public%MusicTroyforbidden.exe - msoudatee dat uitvoert %public%MusicGabriellaremember.exe • Verplaatst de snel bestand in de Gabriella map en hernoemt deze naar onthoud.exe • Pogingen om te verwijderen acrobaat.dll en rihana.exe • Verwijdert de geplande taken met de naam hmmci en moet • Verwijdert zichzelf |
onthoud.exe | Downloadt bestand naar %public%MusicTroyforbidden.exe |
verboden.exe | Gebruikt de URL die is opgeslagen in %public%MuziekTaylorflag het dossier; als er geen URL is, gebruikt deze de standaard-URL. Accepteert drie commando's: • URL instellen in de vlag filet • Bestand uitvoeren met ShellExecute Windows API • Bestand downloaden naar %public%MuziekTaylor |
In Tabel 2 beschrijven we het doel van elk onderdeel van de toolset van de aanvaller.
Tabel 2. Beschrijving van componenten in de toolset van de aanvaller voor DarkMusical
Bestandsnaam | Omschrijving |
---|---|
serviceup.exe | Omgekeerde schelpen |
sdudate.exe | |
srcot.exe | Maakt screenshots, slaat ze op in %public%MuziekSymfonie |
Drie varianten van nDExiD.exe | Verzamelt bestanden die in 2021 en daarna zijn gemaakt en kopieert ze naar de staging-map %public%MuziekSymfonie
Verzamelt bestanden op extensie: dok, docx, eml, in P, jpeg, jpg, msg, odt, pdf, pps, psx, ppt, PPTX, rtf, txt, xls, xlsx |
Hetzelfde als hierboven, maar bestanden moeten in 2020 of later zijn gemaakt. | |
Bestandsverzamelaar die het plaatsen van USB-drives en wijzigingen in het bestandssysteem controleert. Verzamelt dezelfde documenten op extensie als hierboven, maar bevat ook bestanden met extensies: document, mbox, pst | |
upsvcsu.exe | Exfiltreert verzamelde bestanden.
Opsomt alle bestanden in %public%MuziekSymfonie en uploadt diegene die overeenkomen met de extensies: dok, docx, eml, in P, jpeg, jpg, msg, odt, pdf, pps, psx, ppt, PPTX, rtf, txt, xls, xlsx |
gedit
We ontdekten de eerste aanvallen van de campagne met behulp van Gedit in september 2020, tegen organisaties in Pakistan die al het doelwit waren van spearphishing en kwaadaardige RTF-documenten die het Jaca-framework hadden geïnstalleerd. Sindsdien richtte Donot Team zich op doelen in Bangladesh, Nepal en Sri Lanka. De malware is duidelijk afgeleid van het yty-malwareframework, maar is duidelijk genoeg om te worden gescheiden van DarkMusical.
We konden een spearphishing-e-mail ophalen die overeenkomt met een Gedit-campagne die plaatsvond in februari 2021, wat wordt weergegeven in afbeelding 16. De eerste bijlage bevatte een lijst met personeel van een militaire entiteit in Bangladesh (en geen kwaadaardige inhoud). De tweede bijlage toonde niets anders dan een lege pagina, terwijl kwaadaardige code werd uitgevoerd.
We kunnen zien dat de grootte van het tweede bestand groter is dan 2 MB. Het is een RTF-bestand dat misbruik maakt van CVE-2017-11882 om twee DLL-bestanden in het document te verwijderen en een ervan uit te voeren. Andere componenten worden in verschillende fasen naar de besmette computer gedownload. Een overzicht van deze aanvalsketen en zijn malwarecomponenten wordt getoond in figuur 17.
De componenten zijn gecodeerd in Go en C++ (met MinGW- en Visual Studio-compilers). We hebben ervoor gekozen om de gebruikte componenten in die campagne in februari 2021 te beschrijven, die worden weergegeven in Tabel 3.
Tabel 3. Beschrijving van componenten voor Gedit-variant
Bestandsnaam | Omschrijving |
---|---|
vbtr.dll | Verplaatst het bestand %TEMP%bcs01276.tmp naar %USERPROFILE%Documentenmsdn022.dll
Creëert een geplande taak MobUpdate uitvoeren |
msdn022.dll | Downloadt een bestand naar %APPDATA%mscx01102 (later hernoemd naar Winhlp.exe).
Schrijft en voert uit %APPDATA%test.bat, welke: |
Winhlp.exe | Downloadt een bestand naar %USERPROFILE%infboostOOOnprint.exe (als het niet bestaat of als het kleiner is dan 50 kB). |
nprint.exe | Stuurt een verzoek naar een server en afhankelijk van het antwoord kunnen drie acties worden uitgevoerd: • Als qwertyuiop staat in de antwoordheaders, dan wordt een bestand gedownload naar • Als asdfghjklzx is in de antwoordheaders, dan probeert het uit te voeren • Als zxcvbnmlkjhgfd is in de antwoordheaders, dan probeert het uit te voeren Als een bestand |
wuaupdt.exe | Omgekeerde schaal. |
Lmpss.exe | Maakt screenshots en slaat ze op, in een oneindige lus, om %USERPROFILE%RemoteDeskApps |
innod.exe | Bestand verzamelaar. Itereert recursief door schijven en logt interessante bestanden naar Zoekt bestanden met de extensies: dok, docx, xls, xlsx, ppt, pps, PPTX, psx, pdf, in P, msg, jpg, jpeg, png, txt Exclusief de volgende bestanden/mappen: ., .., neehiucf, Dakramen en raamkozijnen, Recente plaatsen, Tembestand, Programma Bestanden, Programma Bestanden (X86), ProgramData, Microsoft, Pakketcache Dit onderdeel loopt in een oneindige lus, waarbij schijven worden herhaald vanaf C: naar H: |
gedit.exe | Verzendt verzamelde bestanden naar een server. Alle bestanden die in %USERPROFILE%RemoteDeskApps worden één voor één ongecodeerd verzonden. Er is geen controle op verlenging, behalve exclusief . en ..
De slachtofferidentificatie waarnaar is geschreven: %USERPROFILE%Policyen-usFileswizard wordt aan de URL toegevoegd. Als het bestand niet bestaat, dan is de standaardstring HeloBSiamabcferss in plaats daarvan wordt gebruikt. User-agent is: Het creëert een systeemgebeurtenis aaaaaaaaa om ervoor te zorgen dat er slechts één exemplaar van het onderdeel tegelijk wordt uitgevoerd. |
Henos-campagne
Ten slotte is het vermeldenswaard een golf van aanvallen die plaatsvond tussen februari en maart 2021, gericht op militaire organisaties in Bangladesh en Sri Lanka. Deze aanvallen maakten gebruik van de Gedit-variant van de malware, maar met enkele kleine aanpassingen. Daarom hebben we besloten om deze campagne Henos in onze tijdlijn te noemen, naar de achterdeur DLL - henos.dll.
Monsters van componenten van deze aanvalsgolf werden in februari ook online gemeld, wat waarschijnlijk verklaart waarom de groep de componenten niet opnieuw heeft gebruikt (zie deze tweet door onderzoekers van de Shadow Chaser Group, bijvoorbeeld).
Hoewel we de bijbehorende spearphishing-e-mails of kwaadaardige documenten niet hebben gevonden, is de aanvalsketen vermoedelijk hetzelfde als hierboven beschreven, met enkele kleine verschillen in de manier waarop de componenten worden uitgevoerd. Een overzicht hiervan is te zien in figuur 18.
Hoewel sommige componenten van deze campagne een naam hebben: javatemp.exe en pytemp.exe, zijn deze bestandsnamen waarschijnlijk alleen gekozen in een poging om legitieme software zoals Java of Python na te bootsen. Terwijl pytemp.exe en plakas.exe werden gecodeerd in de Go-taal, javatemp.exe werd gecodeerd in C++ (gecompileerd met MinGW).
Een laatste opmerking is dat de component die exfiltratie van bestanden uitvoert, pytemp.exe, voert een controle uit om te zien of gedit.exe is aan het rennen. Als er twee of meer instanties worden gevonden, wordt het afgesloten. We zijn van mening dat dit een fout is van de programmeurs, zoals het zou moeten controleren pytemp.exe in plaats van. Deze simpele fout helpt ons echter de Henos-campagne te koppelen aan de Gedit-variant van de malware (toegevoegd aan code-overeenkomst).
Conclusie
Donot Team compenseert zijn lage verfijning met vasthoudendheid. We verwachten dat het ondanks de vele tegenslagen zal blijven doorzetten. Alleen de tijd zal leren of de groep zijn huidige TTP's en malware ontwikkelt.
Neem voor vragen of om voorbeeldinzendingen met betrekking tot het onderwerp in te dienen, contact met ons op via threatintel@eset.com.
Indicatoren van compromis (IoC's)
Een uitgebreide lijst van Indicators of Compromise (IoC's) en voorbeelden vindt u in onze GitHub-repository.
Gedit – Oktober 2021
Stalen
SHA-1 | Bestandsnaam | ESET-detectienaam |
---|---|---|
78E82F632856F293BDA86D77D02DF97EDBCDE918 | cdc.dll | Win32/TrojanDownloader.Donot.C |
D9F439E7D9EE9450CD504D5791FC73DA7C3F7E2E | wbiosr.exe | Win32/TrojanDownloader.Donot.D |
CF7A56FD0613F63418B9DF3E2D7852FBB687BE3F | vdsc.exe | Win32/TrojanDownloader.Donot.E |
B2263A6688E512D90629A3A621B2EE003B1B959E | wuaupdt.exe | Win32/ReverseShell.J |
13B785493145C85B005E96D5029C20ACCFFE50F2 | gedit.exe | Win32/Spy.Donot.A |
E2A11F28F9511753698BA5CDBAA70E8141C9DFC3 | wscs.exe | Win32/Spy.Donot.B |
F67ABC483EE2114D96A90FA0A39496C42EF050B5 | gedit.exe | Win32/Spy.Donot.B |
Netwerk
Servers downloaden
- https://request.soundedge[.]live/access/nasrzolofuju
- https://request.soundedge[.]live/access/birkalirajliruajirjiairuai
- https://share.printerjobs[.]xyz/id45sdjscj/<VICTIM_ID>
Exfiltratie server
- https://submin.seasonsbackup[.]xyz/backup/<VICTIM_ID>
Omgekeerde shell-server
- 80.255.3[.]67
Gedit – juli 2021
Stalen
SHA-1 | Bestandsnaam | ESET-detectienaam |
---|---|---|
A71E70BA6F3CD083D20EDBC83C72AA823F31D7BF | hxedit.exe | Win32/TrojanDownloader.Donot.N |
E101FB116F05B7B69BD2CAAFD744149E540EC6E9 | Lmpss.exe | Win64/HackTool.Ligolo.A |
89D242E75172C79E2F6FC9B10B83377D940AE649 | gedit.exe | WinGo/Spy.Donot.A |
B42FEFE2AB961055EA10D445D9BB0906144647CE | gedit.exe | WinGo/Spy.Donot.A |
B0704492382186D40069264C0488B65BA8222F1E | schijf.exe | Win32/Spy.Donot.L |
1A6FBD2735D3E27ECF7B5DD5FB6A21B153FACFDB | schijf.exe | Win32/Spy.Donot.A |
CEC2A3B121A669435847ADACD214BD0BE833E3AD | schijf.exe | Win32/Spy.Donot.M |
CBC4EC0D89FA7A2AD1B1708C5A36D1E304429203 | schijf.exe | Win32/Spy.Donot.A |
9371F76527CA924163557C00329BF01F8AD9E8B7 | gedit.exe | Win32/Spy.Donot.J |
B427744B2781BC344B96907BF7D68719E65E9DCB | wuaupdt.exe | Win32/TrojanDownloader.Donot.W |
Netwerk
Downloadserver
- request.submitonline[.]club/orderme/
Exfiltratie servers
- oceaanonderzoek[.]club/upload/
- verzoek.soundedge[.]live/ /uload
Omgekeerde shell-servers
- 80.255.3[.]67
- 37.48.122[.]145
Gedit – februari/maart 2021
Stalen
SHA-1 | Bestandsnaam | ESET-detectienaam |
---|---|---|
A15D011BED98BCE65DB597FFD2D5FDE49D46CFA2 | BN_Webmail_Lijst 2020.doc | Win32/Exploit.Agent.UN |
6AE606659F8E0E19B69F0CB61EB9A94E66693F35 | vbtr.dll | Win32/Spy.Donot.G |
0290ABF0530A2FD2DFB0DE29248BA3CABB58D2AD | bcs01276.tmp (msdn022.dll) | Win32/TrojanDownloader.Donot.P |
66BA21B18B127DAA47CB16AB1F2E9FB7DE3F73E0 | Winhlp.exe | Win32/TrojanDownloader.Donot.J |
79A5B10C5214B1A3D7CA62A58574346C03D54C58 | nprint.exe | Win32/TrojanDownloader.Donot.K |
B427744B2781BC344B96907BF7D68719E65E9DCB | wuaupdt.exe | Win32/TrojanDownloader.Donot.W |
E423A87B9F2A6DB29B3BA03AE7C4C21E5489E069 | Lmpss.exe | WinGo/Spy.Donot.B |
F43845843D6E9FB4790BF70F1760843F08D43790 | innod.exe | Win32/Spy.Donot.G |
4FA31531108CC68FF1865E2EB5654F7B3DA8D820 | gedit.exe | Win32/Spy.Donot.G |
Netwerk
Servers downloaden
- firm.tplinkupdates[.]space/8ujdfuyer8d8f7d98jreerje
- firma.tplinkupdates[.]space/yu37hfgde64jskeruqbrgx
- space.lovingallupdates[.]life/orderme
Exfiltratie server
- oceansurvey.club/upload/
Omgekeerde shell-server
- 80.255.3[.]67
Gedit – september 2020
Stalen
SHA-1 | Bestandsnaam | ESET-detectienaam |
---|---|---|
49E58C6DE5245796AEF992D16A0962541F1DAE0C | Lmpss.exe | Win32/Spy.Donot.H |
6F38532CCFB33F921A45E67D84D2796461B5A7D4 | prodot.exe | Win32/TrojanDownloader.Donot.K |
FCFEE44DA272E6EB3FC2C071947DF1180F1A8AE1 | prodot.exe | Win32/TrojanDownloader.Donot.S |
7DDF48AB1CF99990CB61EEAEB3ED06ED8E70A81B | gedit.exe | Win32/TrojanDownloader.Donot.AA |
DBC8FA70DFED7632EA21B9AACA07CC793712BFF3 | schijf.exe | Win32/Spy.Donot.I |
CEF05A2DAB41287A495B9413D33F14D94A568C83 | wuaupdt.exe | Win32/Spy.Donot.A |
E7375B4F37ECEA77FDA2CEA1498CFB30A76BACC7 | prodot.exe | Win32/TrojanDownloader.Donot.AA |
771B4BEA921F509FC37016F5FA22890CA3338A65 | apic.dll | Win32/TrojanDownloader.Donot.A |
F74E6C2C0E26997FDB4DD89AA3D8BD5B270637CC | njhy65tg.dll | Win32/TrojanDownloader.Donot.O |
Netwerk
Servers downloaden
- soundvista[.]club/sessieverzoek
- soundvista[.]club/orderme/
- soundvista[.]club/wingebruiker
Exfiltratie server
- request.resolverequest[.]live/upload/ -
Omgekeerde shell-server
- 80.255.3[.]67
DarkMusical – september 2021
Stalen
SHA-1 | Bestandsnaam | ESET-detectienaam |
---|---|---|
1917316C854AF9DA9EBDBD4ED4CBADF4FDCFA4CE | rihana.exe | Win32/TrojanDownloader.Donot.G |
6643ACD5B07444D1B2C049BDE61DD66BEB0BD247 | acrobaat.dll | Win32/TrojanDownloader.Donot.F |
9185DEFC6F024285092B563EFA69EA410BD6F85B | onthoud.exe | Win32/TrojanDownloader.Donot.H |
954CFEC261FEF2225ACEA6D47949D87EFF9BAB14 | verboden.exe | Win32/TrojanDownloader.Donot.I |
7E9A4A13A76CCDEC880618BFF80C397790F3CFF3 | serviceup.exe | Win32/ReverseShell.J |
BF183A1EC4D88034D2AC825278FB084B4CB21EAD | srcot.exe | Win32/Spy.Donot.F |
1FAA4A52AA84EDB6082DEA66F89C05E0F8374C4C | upsvcsu.exe | WinGo/Spy.Donot.A |
2F2EA73B5EAF9F47DCFB7BF454A27A3FBF253A1E | sdudate.exe | Win32/ReverseShell.J |
39F92CBEC05785BF9FF28B7F33906C702F142B90 | ndexid.exe | Win32/Spy.Donot.C |
1352A8394CCCE7491072AAAC9D19ED584E607757 | ndexid.exe | Win32/Spy.Donot.E |
623767BC142814AB28F8EC6590DC031E7965B9CD | ndexid.exe | Win32/Spy.Donot.A |
Netwerk
Servers downloaden
- digitaal oplossen[.]live/ ~ ~ /ekcvilsrkjiasfjkikiakik
- digitaal oplossen[.]live/ ~ ~ /ziuriucjiekuiemoaeukjudjkgfkkj
- digitaal oplossen[.]live/ ~ ~ /Sqieilcioelikalik
- printeroplossingen[.]live/ ~ ~ /bestel mij
Exfiltratie server
- pakketbeet[.]live/ ~ ~ /uload
Omgekeerde shell-servers
- 37.120.198[.]208
- 51.38.85[.]227
DarkMusical – juni 2021
Stalen
SHA-1 | Bestandsnaam | ESET-detectienaam |
---|---|---|
BB0C857908AFC878CAEEC3A0DA2CBB0A4FD4EF04
6194E0ECA5D494980DF5B9AB5CEA8379665ED46A |
ertficial.dll | Win32/TrojanDownloader.Donot.X |
ACB4DF8708D21A6E269D5E7EE5AFB5168D7E4C70 | msofficedll.dll | Win32/TrojanDownloader.Donot.L |
B38F3515E9B5C8F4FB78AD17C42012E379B9E99A | sccmo.exe | Win32/TrojanDownloader.Donot.M |
60B2ADE3B339DE4ECA9EC3AC1A04BDEFC127B358 | pscmo.exe | Win32/TrojanDownloader.Donot.I |
Netwerk
Servers downloaden
- bijtupdates[.]live/ ~ ~ /bestel mij
- bijtupdates[.]live/ ~ ~ /KdkdUe7KmmGFD
- bijtupdates[.]live/ ~ ~ /acdfsgbvdghd
- gegevensupdates[.]live/ ~ ~ /DKixeXs44skdqqD
- gegevensupdates[.]live/ ~ ~ /BcX21DKixeXs44skdqqD
Henos – februari/maart 2021
Stalen
SHA-1 | Bestandsnaam | ESET-detectienaam |
---|---|---|
468A04B358B780C9CC3174E107A8D898DDE4B6DE | Aankoopbrief 21 feb.doc | Win32/Exploit.CVE-2017-11882.CP |
9DD042FC83119A02AAB881EDB62C5EA3947BE63E | ctlm.dll | Win32/Spy.Donot.N |
25825268868366A31FA73095B0C5D0B696CD45A2 | stpnaqs.pmt (jptvbh.exe) | Win32/TrojanDownloader.Donot.Z |
540E7338725CBAA2F33966D5C1AE2C34552D4988 | henos.dll | Win32/Spy.Donot.G |
526E5C25140F7A70BA9F643ADA55AE24939D10AE | plakas.exe | WinGo/Spy.Donot.B |
89ED760D544CEFC6082A3649E8079EC87425FE66 | javatemp.exe | Win32/Spy.Donot.G |
9CA5512906D43EB9E5D6319E3C3617182BBF5907 | pytemp.exe | WinGo/Spy.Donot.A |
Netwerk
Servers downloaden
- info.printerupdates[.]online/ /Xddv21SDsxDl
- info.printerupdates[.]online/ ~ /XddvInXdl
- info.printerupdates[.]online/ ~ /ZuDDey1eDXUl
- info.printerupdates[.]online/ ~ /Vyuib45xzlqn
Exfiltratie server
- https://manage.biteupdates[.]site/<PC_NAME>/uload
MITRE ATT&CK-technieken
Deze tafel is gemaakt met behulp van versie 10 van het ATT&CK-raamwerk.
Tactiek | ID | Naam | Omschrijving |
---|---|---|---|
Ontwikkeling van hulpbronnen | T1588.005 | Mogelijkheden verkrijgen: Exploits | Donot Team heeft CVE‑2017-11882 exploits gebruikt om zijn malware van de eerste fase uit te voeren. |
Eerste toegang | T1566.001 | Phishing: Spearphishing-bijlage | Donot Team heeft spearphishing-e-mails naar zijn slachtoffers gestuurd met kwaadaardige Word- of PowerPoint-bijlagen. |
Uitvoering | T1204.002 | Uitvoering door gebruiker: kwaadaardig bestand | Donot Team heeft zijn slachtoffers gelokt om kwaadaardige e-mailbijlagen te openen. |
T1059.005 | Opdracht- en scriptinterpreter: Visual Basic | Donot Team heeft macro's gebruikt die in Power Point-documenten staan. | |
T1059.003 | Opdracht- en scriptinterpreter: Windows Command Shell | Donot Team heeft reverse shells op het systeem gebruikt om opdrachten uit te voeren. | |
T1203 | Exploitatie voor Client Execution | Donot Team heeft CVE-2017-11882 exploits gebruikt om code uit te voeren op de computer van het slachtoffer. | |
Volharding | T1053.005 | Geplande taak/taak: geplande taak | Donot Team heeft geplande taken gemaakt voor de persistentie van zijn kwaadaardige componenten. |
verdediging ontduiking | T1036.005 | Maskerade: match legitieme naam of locatie | Donot Team heeft bestandsnamen gebruikt zoals: pytemp or javatemp om de naam van legitieme software te benaderen. |
De reis van mijn leven | T1057 | Procesopsporing | Donot Team heeft controles geïmplementeerd voor oudere versies van de malware die op het systeem van het slachtoffer draaien. |
Zijwaartse beweging | T1534 | Interne spearphishing | Donot Team heeft spearphishing-e-mails naar hun slachtoffers gestuurd die afkomstig waren van dezelfde gerichte organisatie. |
Collectie | T1005 | Gegevens van lokaal systeem | Donot Team heeft kwaadaardige modules gebruikt die het bestandssysteem van het slachtoffer doorkruisen op zoek naar bestanden met verschillende extensies. |
T1025 | Gegevens van verwisselbare media | Donot Team heeft een kwaadaardige module gebruikt om bestanden van verwisselbare schijven te kopiëren. | |
T1074.001 | Gefaseerde gegevens: Staging van lokale gegevens | Donot Team heeft bestanden voor exfiltratie geënsceneerd op een enkele locatie, een map op de computer van het slachtoffer. | |
T1113 | Screen Capture | Donot Team heeft kwaadaardige modules gebruikt om schermafbeeldingen van slachtoffers te maken. | |
Command and Control | T1071.001 | Applicatielaagprotocol: webprotocollen | Donot Team heeft HTTP/S gebruikt voor C&C-communicatie en gegevensexfiltratie. |
exfiltratie | T1048.003 | Exfiltratie via alternatief protocol: exfiltratie via niet-versleuteld/verduisterd niet-C2-protocol | Donot Team heeft speciale servers gebruikt voor exfiltratie, waarbij de gegevens onversleuteld via HTTP of HTTPS worden verzonden. |
Bron: https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/