DoNot APT组织针对居住在印度克什米尔的个人发起网络攻击。恶意软件样本伪造成虚假聊天程序,名称为“Ten Messenger.apk”和“Link Chat QQ.apk”。安装后,Android 恶意软件样本会要求受害者打开该应用程序并启用辅助功能服务。恶意应用试图访问大部分权限来执行恶意任务,包括监控受害者的电话、获取 GPS 位置等。
Donot组织的攻击活动从去年年末就保持着较高的频率,这个趋势一直延续到今年。今年1月底,研究人员捕获到该组织以克什米尔地区相关文档为诱饵的攻击样本。Donot常通过携带宏的文档执行shellcode下载后续DLL组件,进一步下载诸如木马插件管理器和木马插件的恶意DLL。在以克什米尔地区相关文档为诱饵的攻击样本中,攻击者则直接通过自解压rar压缩包投递下载器DLL组件。此外,在某些攻击活动中,Donot组织还使用EXE组件,借助宏文档直接释放压缩包,解压出其中的EXE组件下载后续。
近期,研究人员多次发现Donot组织的攻击活动。在本轮攻击行动中,该组织依然采用宏文档作为恶意载体,从自身释放恶意载荷并执行,通过层层下载的方式加载远控模块,从而实现窃密行动,并且整个过程的恶意代码均带有数字签名信息。 Donot组织使用PPT或者XLS文档作为攻击载体,当受害者打开恶意文档时,会立即释放一个压缩包文件和批处理文件,并创建3个定时任务。其中Tls_SSL计划任务每隔4分钟执行批处理文件,批处理文件主要作用是将释放的压缩包进行解压操作,得到恶意可执行文件comd.exe,并删除Tls_SSL计划任务。My_Drive计划任务是定时执行comd.exe,comd.exe负责继续下载下一阶段载荷,同时下载一个批处理脚本作为Pls_SSL计划任务的启动项从而启动下载的载荷,载荷的主要功能为下载远控模块mnps.exe,从而实现恶意活动。
近日,研究人员分析了几个来自南亚的APT组织,包括Transparent Tribe和SideCopy等。在分析过程中,研究人员发现了一个以前未知的 RAT,并根据二进制有效负载中留下的特定 PDB 字符串,将这些样本称为SDuser样本。SDuser VBA 代码和 Donot VBA 代码之间具有很强的相似性。通过代码相似性检测方法,研究人员确认了南亚APT之间的代码重用。 简况Transparent TribeTransparent Tribe(透明部落、APT36) 是一个在南亚运营超过五年的组织。该组织在恶意文件中使用的诱饵表明,其目标是印度政府和军事组织。透明部落在大多数相关活动中使用的主要有效载荷是 Crimson 和 Oblique RAT 的变体,这表明他们的活动目标是获得立足点和持久的远程访问。
1月18日,研究人员披露了Donot组织近期攻击活动的细节。攻击者在此次活动使用了2种恶意软件变体:DarkMusical和Gedit,主要针对孟加拉国、斯里兰卡、巴基斯坦和尼泊尔等地的政府和军事组织、外交部和大使馆。 简况Donot又名APT-C-35和SectorE02,至少从2016年开始活跃,此前国际特赦组织曾将其与印度的网络安全公司Innefu Labs联系起来。Donot组织每两到四个月向相同的目标发送带有恶意附件的鱼叉式钓鱼电子邮件,通过邮件使用恶意 Microsoft Office 文档来部署恶意软件。
近日,研究人员捕获一起肚脑虫 APT 组织近期疑似针对孟加拉国攻击活动。在此攻击活动中,攻击者主要以”孟加拉国职业大学2021年电子工程专业演示文稿”为主题,将PPT诱饵文件通过钓鱼邮件发送给受害者。当受害者打开诱饵文件并执行宏后,会上传计算机和用户基本信息到远程服务器,并下载后续攻击模块到本地执行。 简况Donot“肚脑虫”是疑似具有南亚背景的 APT 组织,其主要以周边国家包括巴基斯坦、孟加拉国、尼泊尔和斯里兰卡的政府和军事为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对 Windows 与 Android 双平台的攻击能力。
Donot是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。近日,研究人员捕获一起Donot APT组织近期的攻击活动。 简况此次活动具有以下特点:1.RTF文档中嵌入Package对象,打开后自动释放文件到%temp%目录,2.C2不再硬编码到文件中,而是由第三方网站托管;3.此次捕获多个组件,相比以前功能较为完善。 样本攻击流程如下: 样本为RTF文档,打开后为空白页面。文档内嵌了2个对象,一个名为”Package”的对象,RTF打开后会自动释放此对象到%temp%\syswow64.dll,另一个为Equation对象用来触发cve-2017-11882漏洞,漏洞触发后会下载hxxp://wordfile.live/goHULMS9jXVytbJi/LUPQwf50wsIPdieiJjMb9nV4g5WlDRTzL00cZ3y7PXsdRdQN作为shellcode在内存中执行。
安恒威胁情报中心在日常威胁狩猎中捕获到多个Donot APT组织的攻击活动样本。该批样本保持了Donot组织一段时间以来的攻击作战风格。 简况本次捕获的初始攻击样本是一个包含恶意宏代码的PPT文档:样本名称DME_Project.ppt样本类型Microsoft Office PowerPoint 97-2003 演示文稿 (.ppt)样本大小1.47 MB (1,550,336 字节)样本MD58638576e6c72f38273ad4a0fee28b5b6当用户点击打开该文档时,会弹出提示框表明存在宏代码。如果用户忽略该安全提示启用宏,则包含在文档中的恶意代码将会执行,由于文档中没有具体的内容,为了迷惑受害者,恶意代码还会伪装文件打开失败的警告信息让用户降低警惕。该手法已经在此前Donot APT组织的多次攻击活动中被使用。
近期,国际特赦组织的一项新调查发现,多哥(西非国家)的活动家成为Donot组织的攻击目标,该组织使用虚假的Android应用程序针对著名的多哥人权活动家,这是该组织首次在南亚地区外使用间谍软件的攻击示例。研究人员在调查中将本次攻击所使用到的间谍软件和基础设施,与印度网络安全公司Innefu Labs关联了起来。 简况在2019年年底至2020年初,多哥国家处于非常有争议的政治敏感时期,报告称当时攻击者试图同时使用 Android 和 Windows 间谍软件来破坏一位身份不明的人权捍卫者的设备,但攻击并没有成功。政治活动家希望在活动过程中保持匿名,他们是该国人权的重要发声任务,这些活动家的设备在 2019 年 12 月至去年 1 月期间成为攻击目标,当时正值 2020 年多哥总统大选前的紧张政治时期。
近日,研究人员发现,南亚地区 APT组织近期攻击活动频发。其利用恶意RTF模板注入漏洞利用样本对周边国家地区开展了多次攻击活动。在此次攻击活动中,攻击者利用此前披露的Donot组织类似攻击手法,疑似针对阿富汗地区。攻击样本所加载的Payload均采用多层解密,最后阶段的恶意代码BaneChant(MMCore)后门为内存加载,增加了样本的查杀难度。经过分析,研究人员认为此次攻击或应归属到Donot组织,但不排除与Patchwork组织存在联系。简况南亚地区一直以来都是APT 组织攻击活动的活跃区域之一。自2013年5月国外安全公司Norman披露 Hangover 行动(即摩诃草组织)以来,先后出现了多个在该地域活跃的不同命名的APT组织,并且延伸出错综复杂的关联性,包括摩诃草(APT-C-09、HangOver、Patchwork、白象)、蔓灵花(APT-C-08、BITTE)、肚脑虫(APT-C-35、Donot)、魔罗桫(Confucius)、响尾蛇(Sidewinder、APT-C-17) 等。