DoNot Team Hackers 更新了其恶意软件工具包并改进了功能

Donot Team威胁参与者已更新其Jaca Windows恶意软件工具包，改进了功能，包括改进的窃取模块，旨在从 Google Chrome 和 Mozilla Firefox 浏览器中窃取信息。

Morphisec 研究人员 Hido Cohen 和 Arnold Osipov在上周发布的一份报告中披露，这些改进还包括一个新的感染链，该链将以前未记录的组件整合到模块化框架中。

Donot 团队也被称为 APT-C-35 和总督老虎，至少自 2016 年以来就以将目光投向印度、巴基斯坦、斯里兰卡和孟加拉国等地的国防、外交、政府和军事实体而闻名。

国际特赦组织于 2021 年 10 月发现的证据将该组织的攻击基础设施与一家名为 Innefu Labs 的印度网络安全公司联系起来。

包含恶意 Microsoft Office 文档的鱼叉式网络钓鱼活动是恶意软件的首选传播途径，其次是利用生产力软件中的宏和其他已知漏洞来启动后门。

Morphisec 的最新调查结果建立在网络安全公司 ESET 先前的报告之上，该报告详细介绍了对手使用其 yty 恶意软件框架的多个版本（其中之一是 Jaca）入侵南亚军事组织的情况。

这需要使用 RTF 文档来诱骗用户启用宏，从而导致执行注入内存的一段 shellcode，而该代码又被编排以从其命令和控制 (C2) 下载第二阶段的 shellcode服务器。

然后第二阶段充当从另一个远程服务器检索 DLL 文件（“pgixedfxglmjirdc.dll”）的通道，它通过向 C2 服务器发送信标系统信息、通过计划任务建立持久性并获取下一阶段的 DLL（“WavemsMp.dll”）。

“这个阶段的主要目的是下载和执行用于窃取用户信息的模块，”研究人员指出。“为了了解当前感染中使用了哪些模块，恶意软件与另一台 C2 服务器进行通信。”

C2 域是通过访问指向 Google Drive 文档的嵌入式链接获得的，允许恶意软件访问指示要下载和执行的模块的配置。

这些模块扩展了恶意软件的功能并收集了广泛的数据，例如按键、屏幕截图、文件和存储在 Web 浏览器中的信息。此外，工具集的一部分是一个反向 shell 模块，它允许攻击者远程访问受害机器。

这一发展是另一个迹象，表明威胁参与者正在积极调整他们的策略和技术，这些策略和技术在获得初始感染和长时间保持远程访问方面最有效。

研究人员说：“防御像 Donot 团队这样的 APT 需要深度防御策略，该策略使用多层安全性来确保在任何给定层被破坏时的冗余。”

APT-C-35 获得新升级

DoNot 团队（又名 APT-C-35）是高级持续性威胁参与者，至少自 2016 年以来一直活跃。他们针对南亚的个人和组织进行了多次攻击。据报道，DoNot 是 Windows 和 Android 间谍软件框架 [ 1 ][ 2 ][ 3 ] 的主要开发者和用户。

Morphisec Labs 跟踪了该组织的活动，现在专门详细介绍了该组织的 Windows 框架（又名 YTY、Jaca）的最新更新。在这篇博文中，我们简要讨论了 DoNot 团队的历史，并阐明了在野外发现的最新样本所揭示的更新。

已知的 TTP 或恶意软件共性包括：

模块化架构，其中每个模块都在单独的文件中交付

功能：文件收集、屏幕截图、键盘记录、反向外壳、浏览器窃取和收集系统信息

各种编程语言，如 C++、.NET、Python 等。

利用 Google Drive 存储命令和控制 (C2) 服务器地址

在整个感染链中用于不同目的的多个域

所有以前已知的归因于 DoNot 团队的框架变体都具有相似的属性。

Morphisec Labs 确定了一个新的 DoNot 感染链，该链将新模块引入 Windows 框架。在这篇文章中，我们详细介绍了 shellcode 加载器机制及其后续模块，确定了浏览器窃取器组件中的新功能，并分析了反向 shell 的新 DLL 变体。

阅读博客全文地址：

https://blog.morphisec.com/apt-c-35-new-windows-framework-revealed

原文始发于微信公众号（网络研究院）：DoNot Team Hackers 更新了其恶意软件工具包并改进了功能