可用

Donot Team 网络间谍组织更新其 Windows 恶意软件框架

  • 浏览次数 10199
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

Donot Team黑客,又名APT-C-35,为其Jaca Windows恶意软件框架添加了新功能。

Donot团队自2016年以来一直活跃,重点关注政府、军事组织、外交部以及印度、巴基斯坦、斯里兰卡、孟加拉国和其他南亚国家的大使馆。

2021年10月,大赦国际发布的一份报告表示,“Donot团队利用Android应用程序伪装成安全聊天应用程序和恶意电子邮件,针对多哥著名人权捍卫者进行攻击。过去,在南亚以外的攻击中发现了Donot团队间谍软件。调查还发现了这些攻击中使用的间谍软件和基础设施,与印度网络安全公司Innefu Labs之间的联系。”

攻击链从包含恶意附件的鱼叉式网络钓鱼电子邮件开始,一旦启用Microsoft Office宏,就会加载下一阶段的恶意软件,利用公式编辑器漏洞打开RTF文件,并通过远程模板注入。

“Morphisec Labs 确定了一个新的DoNot感染链,它将新模块引入Windows框架。在这篇文章中,我们详细介绍了shellcode加载器机制及其后续模块,确定了浏览器窃取器组件中的新功能,并分析了反向shell的新DLL变体。DoNot最新的鱼叉式网络钓鱼电子邮件活动使用了RTF文件针对政府部门,包括巴基斯坦国防部门。”Morphisec发布的报告中写道。

Donot-Team-APT-2.JPG

该组织现在改进了其Jaca Windows恶意软件框架,例如,它增强了浏览器窃取模块。与以前版本的模块不同,新版本使用前一阶段下载的四个附加可执行文件 (WavemsMp.dll),而不是在DLL中实现窃取功能。每个附加的可执行文件都允许从Google Chrome和/或Mozilla Firefox中窃取信息。

在最近的攻击中,该组织使用RTF文档发送消息,欺骗用户启用宏。启用宏后,将一段shellcode注入内存,然后从C2服务器下载并执行第二阶段的shellcode。

第二阶段的shellcode从不同的远程服务器获取主DLL文件(“pgixedfxglmjirdc.dll”),它负责向C2服务器发送信号通知感染成功。它向服务器发送受感染机器的系统信息,然后下载下一阶段DLL,即模块下载器“WavemsMp.dll”。

这个阶段的主要目的是下载并执行用于窃取用户信息的模块。为了了解当前感染中使用了哪些模块,恶意软件与另一台C2服务器进行通信。恶意软件从嵌入式链接中获取新地址,该链接指向包含加密地址的Google Drive文档。

攻击者还实现了一个反向shell模块,该模块被重新编译为DLL。其功能保持不变,打开攻击者机器的套接字(位于162.33.177[.]41),创建一个新的隐藏cmd.exe进程并将STDIN、STDOUT和STDERR设置为套接字。

研究人员总结道:“防御像DoNot团队这样的APT需要深度防御策略,该策略使用多个安全层,以确保任何给定层被破坏时的冗余。最难防御的攻击是那些在运行时以应用程序为目标的攻击——比如这里详述的Windows框架。这是因为流行的安全解决方案(例如NGAV、EDR、EPP、XDR等)侧重于检测磁盘或操作系统上的异常情况,它们在运行时检测或阻止内存攻击的能力是有限的。在一定程度上,它们会导致严重的系统性能问题和错误警报,因为必须将它们调到最高警告级别。”

 

消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文