Donot 团队自 2016 年开始活跃,重点关注印度、巴基斯坦、斯里兰卡、孟加拉国等南亚国家的政府和军事组织、外交部和大使馆。
2021 年 10 月, 国际特赦组织发布的一份报告 显示,Donot 团队使用 Android 应用程序冒充安全聊天应用程序和恶意电子邮件,针对多哥著名人权捍卫者进行攻击。过去,在南亚以外的攻击中发现了 Donot Team 间谍软件。调查还发现了这些攻击中使用的间谍软件和基础设施与印度网络安全公司 Innefu Labs 之间的联系。
攻击链从包含恶意附件的鱼叉式网络钓鱼电子邮件开始,一旦启用 Microsoft Office 宏,就会加载下一阶段的恶意软件,利用公式编辑器漏洞打开 RTF 文件,并通过远程模板注入。
“Morphisec Labs 已经确定了一个新的 DoNot 感染链,它将新模块引入 Windows 框架。在这篇文章中,我们详细介绍了 shellcode 加载器机制及其后续模块,确定了浏览器窃取器组件中的新功能,并分析了反向 shell 的新 DLL 变体。” 阅读Morphisec 发布的报告。 “DoNot 最新的鱼叉式网络钓鱼电子邮件活动使用了 RTF 文件并针对政府部门,包括巴基斯坦的国防部门”
该组织现在改进了其 Jaca Windows 恶意软件框架,例如,它增强了浏览器窃取模块。与以前版本的模块不同,新版本使用前一阶段下载的四个附加可执行文件 (WavemsMp.dll),而不是在 DLL 中实现窃取功能。每个附加的可执行文件都允许从 Google Chrome 和/或 Mozilla Firefox 窃取信息。
在最近的攻击中,该组织使用 RTF 文档发送消息,诱骗用户启用宏。一旦启用宏,一段 shellcode 被注入内存,然后它从 C2 服务器下载并执行第二阶段的 shellcode。
第二阶段的 shellcode 从不同的远程服务器获取主 DLL 文件(“pgixedfxglmjirdc.dll”),它负责向 C2 服务器发送信号通知感染成功。它将被感染机器的系统信息发送到服务器,然后下载下一阶段的DLL,即Module Downloader“WavemsMp.dll”。
“这个阶段的主要目的是下载并执行用于窃取用户信息的模块。为了了解当前感染中使用了哪些模块,恶意软件与另一台 C2 服务器进行通信。” 继续报告。“恶意软件从嵌入式链接中获取新地址,该链接指向包含加密地址的 Google Drive 文档:”
攻击者还实现了一个反向 shell 模块,该模块被重新编译为 DLL。它的功能保持不变,打开攻击者机器的套接字(位于 162.33.177[.]41),创建一个新的隐藏 cmd.exe 进程并将 STDIN、STDOUT 和 STDERR 设置为套接字。
“防御像 DoNot 团队这样的 APT 需要深度防御策略,该策略使用多层安全性来确保在任何给定层被破坏时的冗余。” 研究人员得出结论。“最难防御的攻击是那些在运行时以应用程序为目标的攻击——比如这里详述的 Windows 框架。这是因为流行的安全解决方案(例如 NGAV、EDR、EPP、XDR 等)专注于检测磁盘或操作系统上的异常情况。它们在运行时检测或阻止内存攻击的能力是有限的。在他们可以这样做的范围内,它们会导致严重的系统性能问题和错误警报,因为必须将它们调到最激进的警报设置。”
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Donot Team网络间谍组织更新其Windows恶意软件框架
