APT DoNo Team атаковала госструктуры и военные организации в Южной Азии

[Artifact]

Группировка связана с индийской ИБ-компанией Innefu Labs.

Злоумышленники, предположительно связанные индийской ИБ-компанией, организовали кибератаки на военные организации, базирующиеся в Южной Азии, включая Бангладеш, Непал и Шри-Ланку. Преступники устанавливают на компьютерные системы жертв различные варианты вредоносного ПО по крайней мере с сентября 2020 года.
Специалисты из компании ESET связали данные атаки с хакерской группировкой, известной как DoNot Team.
«DoNot Team каждые два-четыре месяца атакует одни и те же организации волнами адресных фишинговых писем с вредоносными вложениями», — сообщили эксперты.
DoNot Team (также известная как APT-C-35 и SectorE02) активна по крайней мере с 2016 года. Группировка известна атаками на посольства, правительства и военные организации в Бангладеш, Шри-Ланке, Пакистане и Непале с помощью вредоносного ПО для Android-устройств и Windows-систем.
В октябре 2021 года правозащитная организация Amnesty International обнаружила свидетельства, связывающие инфраструктуру группировки с индийской ИБ-компанией Innefu Labs.
Хотя APT-группировки нередко повторно атакуют ранее скомпрометированную сеть, развертывая более скрытые бэкдоры, DoNot Team пробует другой подход, устанавливая несколько вариантов вредоносных программ, уже имеющихся в ее арсенале. Инфраструктура вредоносного ПО yty, доставляемого с помощью документов Microsoft Office, представляет собой цепочку промежуточных загрузчиков. По завершению атаки хакеры устанавливают бэкдор, который обеспечивает установку дополнительных компонентов, позволяющих похищать файлы, фиксировать нажатия клавиш, делать снимки экрана, а также запускать обратные оболочки для удаленного доступа.
Новые варианты yty получили названия DarkMusical и Gedit, при этом данные телеметрии указывают на атаки с использованием третьего варианта под названием Jaca с марта по июль 2021 года. Первая волна атак с использованием DarkMusical произошла в июне 2021 года, а связанные с Gedit кампании наблюдались еще в сентябре 2020 года.
Более того, четвертая серия атак, произошедшая в период с февраля по март 2021 года и направленная против военных организаций в Бангладеш и Шри-Ланке, использовала модифицированную версию Gedit под кодовым названием Henos.