APT-C-35(肚脑虫)组织,又称Donot,是一个针对克什米尔地区相关国家的政府机构等领域进行以窃取敏感信息为主的网络攻击行动的APT攻击组织。监控到一批肚脑虫组织的移动端攻击样本,受影响的地区主要是孟加拉国和斯里兰卡,受影响的时间范围从2022年6月至2023年2月。该组织近期的攻击活动中观察到两种载荷投递方式:1)通过社交应用直接传播2)通过PDF诱饵文档联网下载诱饵文件伪装成名称为“草稿”的PDF文档,当用户打开文档后,会直接显示一个提示框,提示用户需要安装一个插件才可查看。点击下载按钮后会使用浏览器打开指定URL。攻击者服务器会判断该URL请求端的平台类型,如果不是Android平台,则会返回错误页面,如果是Android平台,则会下载一个名称为PluginL26.9.22.apk(不同时间下载的版本不一样)的伪装成插件的Android安装包,该安装包即为肚脑虫组织专用的Android RAT。
Donot组织(APT-C-35)是一个网络间谍组织,至少自 2013 年以来一直活跃。在针对巴基斯坦用户的攻击中,该组织使用了名为“StealJob”的Android恶意软件,该恶意软件以“克什米尔之声”的名义通过网络钓鱼的方式进行攻击。
研究人员捕获了托管在 Google Play 商店中名为“SecurITY Industry”的可疑 Android 应用程序。技术分析显示,该应用程序具有恶意软件特征,与DoNot组织有关。DoNot组织使用Google Play上的三个Android应用程序从目标设备收集情报,例如位置数据和联系人列表。
DoNot APT组织针对居住在印度克什米尔的个人发起网络攻击。恶意软件样本伪造成虚假聊天程序,名称为“Ten Messenger.apk”和“Link Chat QQ.apk”。安装后,Android 恶意软件样本会要求受害者打开该应用程序并启用辅助功能服务。恶意应用试图访问大部分权限来执行恶意任务,包括监控受害者的电话、获取 GPS 位置等。
Donot组织的攻击活动从去年年末就保持着较高的频率,这个趋势一直延续到今年。今年1月底,研究人员捕获到该组织以克什米尔地区相关文档为诱饵的攻击样本。Donot常通过携带宏的文档执行shellcode下载后续DLL组件,进一步下载诸如木马插件管理器和木马插件的恶意DLL。在以克什米尔地区相关文档为诱饵的攻击样本中,攻击者则直接通过自解压rar压缩包投递下载器DLL组件。此外,在某些攻击活动中,Donot组织还使用EXE组件,借助宏文档直接释放压缩包,解压出其中的EXE组件下载后续。
近期,研究人员多次发现Donot组织的攻击活动。在本轮攻击行动中,该组织依然采用宏文档作为恶意载体,从自身释放恶意载荷并执行,通过层层下载的方式加载远控模块,从而实现窃密行动,并且整个过程的恶意代码均带有数字签名信息。 Donot组织使用PPT或者XLS文档作为攻击载体,当受害者打开恶意文档时,会立即释放一个压缩包文件和批处理文件,并创建3个定时任务。其中Tls_SSL计划任务每隔4分钟执行批处理文件,批处理文件主要作用是将释放的压缩包进行解压操作,得到恶意可执行文件comd.exe,并删除Tls_SSL计划任务。My_Drive计划任务是定时执行comd.exe,comd.exe负责继续下载下一阶段载荷,同时下载一个批处理脚本作为Pls_SSL计划任务的启动项从而启动下载的载荷,载荷的主要功能为下载远控模块mnps.exe,从而实现恶意活动。
近日,研究人员分析了几个来自南亚的APT组织,包括Transparent Tribe和SideCopy等。在分析过程中,研究人员发现了一个以前未知的 RAT,并根据二进制有效负载中留下的特定 PDB 字符串,将这些样本称为SDuser样本。SDuser VBA 代码和 Donot VBA 代码之间具有很强的相似性。通过代码相似性检测方法,研究人员确认了南亚APT之间的代码重用。 简况Transparent TribeTransparent Tribe(透明部落、APT36) 是一个在南亚运营超过五年的组织。该组织在恶意文件中使用的诱饵表明,其目标是印度政府和军事组织。透明部落在大多数相关活动中使用的主要有效载荷是 Crimson 和 Oblique RAT 的变体,这表明他们的活动目标是获得立足点和持久的远程访问。
1月18日,研究人员披露了Donot组织近期攻击活动的细节。攻击者在此次活动使用了2种恶意软件变体:DarkMusical和Gedit,主要针对孟加拉国、斯里兰卡、巴基斯坦和尼泊尔等地的政府和军事组织、外交部和大使馆。 简况Donot又名APT-C-35和SectorE02,至少从2016年开始活跃,此前国际特赦组织曾将其与印度的网络安全公司Innefu Labs联系起来。Donot组织每两到四个月向相同的目标发送带有恶意附件的鱼叉式钓鱼电子邮件,通过邮件使用恶意 Microsoft Office 文档来部署恶意软件。
近日,研究人员捕获一起肚脑虫 APT 组织近期疑似针对孟加拉国攻击活动。在此攻击活动中,攻击者主要以”孟加拉国职业大学2021年电子工程专业演示文稿”为主题,将PPT诱饵文件通过钓鱼邮件发送给受害者。当受害者打开诱饵文件并执行宏后,会上传计算机和用户基本信息到远程服务器,并下载后续攻击模块到本地执行。 简况Donot“肚脑虫”是疑似具有南亚背景的 APT 组织,其主要以周边国家包括巴基斯坦、孟加拉国、尼泊尔和斯里兰卡的政府和军事为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对 Windows 与 Android 双平台的攻击能力。
Donot是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。近日,研究人员捕获一起Donot APT组织近期的攻击活动。 简况此次活动具有以下特点:1.RTF文档中嵌入Package对象,打开后自动释放文件到%temp%目录,2.C2不再硬编码到文件中,而是由第三方网站托管;3.此次捕获多个组件,相比以前功能较为完善。 样本攻击流程如下: 样本为RTF文档,打开后为空白页面。文档内嵌了2个对象,一个名为”Package”的对象,RTF打开后会自动释放此对象到%temp%\syswow64.dll,另一个为Equation对象用来触发cve-2017-11882漏洞,漏洞触发后会下载hxxp://wordfile.live/goHULMS9jXVytbJi/LUPQwf50wsIPdieiJjMb9nV4g5WlDRTzL00cZ3y7PXsdRdQN作为shellcode在内存中执行。
