DoNot Team Hackers 更新了其恶意软件工具包并改进了功能

admin 2022年8月20日09:38:51安全工具评论15 views1663字阅读5分32秒阅读模式

DoNot Team Hackers 更新了其恶意软件工具包并改进了功能


Donot Team威胁参与者已更新其Jaca Windows恶意软件工具包,改进了功能,包括改进的窃取模块,旨在从 Google Chrome 和 Mozilla Firefox 浏览器中窃取信息。


Morphisec 研究人员 Hido Cohen 和 Arnold Osipov在上周发布的一份报告中披露,这些改进还包括一个新的感染链,该链将以前未记录的组件整合到模块化框架中。


Donot 团队也被称为 APT-C-35 和总督老虎,至少自 2016 年以来就以将目光投向印度、巴基斯坦、斯里兰卡和孟加拉国等地的国防、外交、政府和军事实体而闻名。


国际特赦组织于 2021 年 10 月发现的证据将该组织的攻击基础设施一家名为 Innefu Labs 的印度网络安全公司联系起来。


包含恶意 Microsoft Office 文档的鱼叉式网络钓鱼活动是恶意软件的首选传播途径,其次是利用生产力软件中的宏和其他已知漏洞来启动后门。


Morphisec 的最新调查结果建立在网络安全公司 ESET 先前的报告之上,该报告详细介绍了对手使用其 yty 恶意软件框架的多个版本(其中之一是 Jaca)入侵南亚军事组织的情况。


DoNot Team Hackers 更新了其恶意软件工具包并改进了功能


这需要使用 RTF 文档来诱骗用户启用宏,从而导致执行注入内存的一段 shellcode,而该代码又被编排以从其命令和控制 (C2) 下载第二阶段的 shellcode服务器。


然后第二阶段充当从另一个远程服务器检索 DLL 文件(“pgixedfxglmjirdc.dll”)的通道,它通过向 C2 服务器发送信标系统信息、通过计划任务建立持久性并获取下一阶段的 DLL(“WavemsMp.dll”)。


“这个阶段的主要目的是下载和执行用于窃取用户信息的模块,”研究人员指出。“为了了解当前感染中使用了哪些模块,恶意软件与另一台 C2 服务器进行通信。”


C2 域是通过访问指向 Google Drive 文档的嵌入式链接获得的,允许恶意软件访问指示要下载和执行的模块的配置。


这些模块扩展了恶意软件的功能并收集了广泛的数据,例如按键、屏幕截图、文件和存储在 Web 浏览器中的信息。此外,工具集的一部分是一个反向 shell 模块,它允许攻击者远程访问受害机器。


这一发展是另一个迹象,表明威胁参与者正在积极调整他们的策略和技术,这些策略和技术在获得初始感染和长时间保持远程访问方面最有效。


研究人员说:“防御像 Donot 团队这样的 APT 需要深度防御策略,该策略使用多层安全性来确保在任何给定层被破坏时的冗余。”



DoNot Team Hackers 更新了其恶意软件工具包并改进了功能


APT-C-35 获得新升级


DoNot 团队(又名 APT-C-35)是高级持续性威胁参与者,至少自 2016 年以来一直活跃。他们针对南亚的个人和组织进行了多次攻击。据报道,DoNot 是 Windows 和 Android 间谍软件框架 [ 1 ][ 2 ][ 3 ] 的主要开发者和用户。


Morphisec Labs 跟踪了该组织的活动,现在专门详细介绍了该组织的 Windows 框架(又名 YTY、Jaca)的最新更新。在这篇博文中,我们简要讨论了 DoNot 团队的历史,并阐明了在野外发现的最新样本所揭示的更新。


已知的 TTP 或恶意软件共性包括:

模块化架构,其中每个模块都在单独的文件中交付

功能:文件收集、屏幕截图、键盘记录、反向外壳、浏览器窃取和收集系统信息

各种编程语言,如 C++、.NET、Python 等。

利用 Google Drive 存储命令和控制 (C2) 服务器地址

在整个感染链中用于不同目的的多个域

所有以前已知的归因于 DoNot 团队的框架变体都具有相似的属性。


Morphisec Labs 确定了一个新的 DoNot 感染链,该链将新模块引入 Windows 框架。在这篇文章中,我们详细介绍了 shellcode 加载器机制及其后续模块,确定了浏览器窃取器组件中的新功能,并分析了反向 shell 的新 DLL 变体。


DoNot Team Hackers 更新了其恶意软件工具包并改进了功能

阅读博客全文地址:

https://blog.morphisec.com/apt-c-35-new-windows-framework-revealed


原文始发于微信公众号(网络研究院):DoNot Team Hackers 更新了其恶意软件工具包并改进了功能

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月20日09:38:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  DoNot Team Hackers 更新了其恶意软件工具包并改进了功能 http://cn-sec.com/archives/1244016.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: