印度APT 组织 DONOT 对巴基斯坦海事和国防工业发起网络攻击

一个名为  DONOT 的APT 组织将目标锁定在巴基斯坦关键部门，特别是海事和国防制造业。通过利用先进的恶意软件和有针对性的社会工程策略，DONOT 黑客组织已成功入侵敏感基础设施。  

根据Cyble 研究与情报实验室的报告，APT 组织 DONOT（也称为 APT-C-35）自 2016 年以来一直活跃，主要因其持续的网络间谍活动而闻名。从历史上看，这个黑客组织专注于政府机构、军事实体和外交使团，尤其侧重于南亚国家。

其行动具有高度的隐秘性，使用复杂的恶意软件和定制工具渗透目标网络。 

DONOT 黑客组织此前曾利用政府和军事系统的漏洞对组织进行攻击，通常使用钓鱼电子邮件和恶意附件作为初始感染媒介。

这次，他们的重点转向巴基斯坦的关键制造业部门，这些部门为该国的海事和国防工业提供支持。鉴于这些部门的敏感性，此次攻击对经济稳定和国家安全都具有深远影响。 

Cyble 研究人员发现，最近的网络攻击主要针对为巴基斯坦国防和海事部门提供设备的制造设施。这种有针对性的方法表明，DONOT 黑客组织的兴趣不仅在于获得对系统的一般访问权限，还在于获取特定的工业和军事情报。 

此次攻击活动中的初始感染媒介是一个恶意的 LNK（快捷方式）文件，该文件通过伪装成合法富文本格式 (RTF) 文档的垃圾邮件发送。

此 LNK 文件被设计成包含加密数据，诱使受害者打开它。一旦点击，该文件就会触发多个 PowerShell 命令，下载其他恶意软件，包括一个充当进一步攻击“暂存器”的 DLL 文件。

执行后，恶意 LNK 文件会激活一系列命令，这些命令使用 PowerShell 脚本下载并解密更多有效载荷。然后，这些有效载荷被部署到受感染的系统上，建立立足点，使恶意软件能够在受感染的机器上持续存在。为了保持对网络的访问，恶意软件安排了一项任务，每五分钟执行一次有效载荷。 

高级恶意软件和持久性机制

DONOT黑客组织在这次攻击中使用的恶意软件非常先进，利用多种加密技术来避免被传统安全系统检测到。该组织引入了一种新的命令和控制（C&C）服务器通信方法。该恶意软件使用AES加密和Base64编码来混淆其通信，使安全软件更难识别恶意活动。 

一旦恶意软件确认存在，它就会向主 C&C 服务器发起 POST 请求，传输唯一的设备 ID 以验证受感染的机器。如果 C&C 服务器响应肯定，恶意软件就会下载更多有效载荷，配置系统以保持持久性，并为攻击的其他阶段做准备。 

除了加密受害机器与 C&C 服务器之间的通信外，黑客组织 DONOT 还对备用 C&C 服务器采用了随机域名生成。此策略确保即使主服务器被关闭，恶意软件仍可以通过动态生成的辅助域名继续运行。 

技术分析：攻击如何展开

DONOT 的感染链（来源：Cyble）

恶意进程首先执行隐藏在 LNK 文件中的 PowerShell 脚本。此脚本使用简单的 XOR 操作解密诱饵 RTF 文件和 DLL 负载。然后将文件提取到受害者的临时目录中。提取后，恶意软件会删除 PowerShell 脚本并打开诱饵文档以进一步诱骗受害者。 

诱饵文件本身与巴基斯坦著名国防承包商卡拉奇造船厂和工程公司 (KS&EW) 有关。这表明攻击者的主要目标是利用特定行业目标渗透国防部门。 

一旦执行 DLL，它就会启动一个进程，从嵌入的 JSON 文件中提取关键配置数据，包括服务器地址、加密密钥和其他任务参数。然后，恶意软件使用此信息与 C&C 服务器进行安全通信，请求有关如何进行攻击的进一步指示。 

Stager 恶意软件还会检查是否存在名为“Schedule”的计划任务。如果不存在此任务，恶意软件就会创建它，确保每五分钟执行一次恶意 DLL，从而在受感染的系统中保持持久性。这种策略是更广泛战略的一部分，旨在确保恶意软件尽可能长时间地不被发现地运行。

备份 C&C 服务器的随机域名生成

此次攻击的一个特别显著的特点是使用随机域名生成。DONOT 黑客组织采取了额外的预防措施，通过为其 C&C 服务器生成备份域名来避免被发现。这些域名是通过连接硬编码值数组中的单词，然后选择一个随机顶级域名 (TLD) 来创建的。这种动态域名生成方法使网络安全团队更难关闭 C&C 基础设施，即使某些域名被列入黑名单。 

配置文件还包括后备服务器 URL，这些 URL 会根据主 C&C 服务器状态的变化定期更新。这种灵活性确保黑客组织可以保持对受感染系统的控制，而不受其通信基础设施中断的影响。 

新的加密方法和有效载荷传递

在这次攻击活动中，DONOT 黑客组织引入了更为复杂的有效载荷传递方法。与之前将解密密钥硬编码到配置文件中的攻击活动不同，这次，解密密钥嵌入在二进制文件本身中，这使得分析师更难检测到。 

该恶意软件能够下载、解密和执行其他有效载荷，这代表了一种更先进、更细致的网络间谍手段。一旦成功解密有效载荷，该恶意软件就会创建一个计划任务来执行最终的有效载荷，这些载荷可能包括数据泄露工具，也可能包括能够对受感染系统造成长期损害的其他恶意代码。 

DONOT APT 组织最近发起的网络攻击标志着其战术显著升级，他们使用 PowerShell 漏洞、动态域生成和增强加密等先进方法来逃避检测。此次攻击针对的是巴基斯坦敏感的海事和国防部门，凸显了此类老练组织带来的日益严重的威胁。  

为了应对这种情况，组织必须通过部署强大的端点检测、定期进行审计以及培训员工识别网络钓鱼企图来加强网络安全防御。主动威胁搜寻和明确的事件响应计划对于防御未来的攻击至关重要。警惕和准备对于减轻DONOT 等高级持续性威胁的风险仍然至关重要。

技术报告：https://cyble.com/blog/donots-attack-on-maritime-defense-manufacturing/

新闻链接：

https://www.bleepingcomputer.com/news/security/fake-ai-video-generators-infect-windows-macos-with-infostealers/

讲述普通人能听懂的安全故事