【安全资讯】DONOT APT组织针对巴基斯坦海事和国防部门展开新一轮攻击

概要：

近期，Cyble Research and Intelligence Labs（CRIL）发布报告，揭露了由高级持续威胁（APT）组织DONOT（又称APT-C-35）发起的新一轮攻击活动。该活动主要针对巴基斯坦的海事和国防制造行业，采用了包括恶意.LNK文件和增强加密方法在内的先进战术，显示出其对国家安全的威胁。

主要内容：

DONOT自2016年活跃以来，已以攻击南亚地区的政府和军事实体而闻名。在此次活动中，该组织将初始感染媒介从恶意Office文件转变为伪装成富文本格式（RTF）文档的.LNK文件。这些文件通常通过垃圾邮件发送，诱使受害者点击，从而触发一系列恶意活动。CRIL的报告指出，用户一旦点击执行，就会启动cmd.exe和powershell.exe，运行额外的恶意命令。

此次攻击的重点是巴基斯坦的制造业，尤其是与海事和国防相关的公司。例如，一份诱饵文档伪装成卡拉奇造船与工程公司（Karachi Shipyard & Engineering Works）的文件。通过利用行业特定主题，DONOT APT组织旨在渗透支持国家安全的关键组织。

该组织的战术显示出显著的演变：动态加密方法取代了以往简单的XOR密钥，确保有效规避检测；通过定时任务保持持久性，每五分钟运行一次stager DLL；与C&C服务器的通信采用加密POST请求，传输独特的设备标识符和配置信息。此外，恶意软件在投放额外有效载荷之前，会收集详细的系统信息，以优化攻击策略。CRIL已发布全面的威胁狩猎工具包，包括YARA和Sigma规则，以帮助组织检测和缓解此次攻击活动。