Een bedreigingsacteur met vermoedelijke banden met India is waargenomen gericht op een Europees ministerie van Buitenlandse Zaken met malware die gevoelige gegevens van gecompromitteerde hosts kan oogsten.
De activiteit is toegeschreven door Tellix Advanced Research Center aan een Advanced Persistent Dreiging (APT) -groep genaamd Donot Team, die ook bekend staat als APT-C-35, Mint Tempest, Origami Elephant, Sector02 en Viceroy Tiger. Het is sinds 2016 beoordeeld als actief.
“Donot Apt staat bekend om het gebruik van op maat gemaakte Windows-malware, inclusief backdoors zoals YTY en Gedit, vaak geleverd door speer-phishing-e-mails of kwaadaardige documenten,” zei Trellix-onderzoekers Aniket Choukde, Aparna Aripirala, Alisha Kadam, Akhil Reddy, Pham Duy Phuc, en Alex Lanstein.
“Deze dreigingsgroep richt zich meestal op overheidsentiteiten, buitenlandse ministeries, defensieorganisaties en NGO’s, met name die in Zuid -Azië en Europa.”
De aanvalsketen begint met phishing -e -mails die de ontvangers willen misleiden om op een Google Drive -link te klikken om de download van een RAR -archief te activeren, dat vervolgens de weg vrijmaakt voor de implementatie van een malware nagesynchroniseerde Loptikmod, die exclusief wordt gebruikt door de groep tot 2018 te gebruiken.
De berichten, per Trellix, zijn afkomstig van een Gmail -adres en imiteren de defensieambtenaren, met een onderwerpregel die verwijst naar een Italiaanse Defensie -attaché -bezoek aan Dhaka, Bangladesh.
“De e-mail gebruikte HTML-opmaak met UTF-8-codering om speciale tekens zoals ‘é’ in ‘Attaché’ correct weer te geven, en toont aandacht voor detail om de legitimiteit te vergroten,” merkte Trellix op in zijn deconstructie van de infectiessequentie.
The RAR archive distributed via the emails contains a malicious executable that mimics a PDF document, opening which causes the execution of the LoptikMod remote access trojan that can establish persistence on the host via scheduled tasks and connect to a remote server to send system information, receive further commands, download additional modules, and exfiltrate data.
Het maakt ook gebruik van anti-VM-technieken en ASCII-verduistering om de uitvoering in virtuele omgevingen te belemmeren en analyse te ontwijken, waardoor het een stuk uitdagender wordt om het doel van de tool te bepalen. Bovendien zorgt de aanval ervoor dat slechts één exemplaar van de malware actief op het gecompromitteerde systeem draait om mogelijke interferentie te voorkomen.
Trellix zei dat de command-and-control (C2) -server die in de campagne wordt gebruikt, momenteel inactief is, wat betekent dat de infrastructuur tijdelijk is uitgeschakeld of niet langer functioneel is, of dat de dreigingsactoren naar een geheel andere server zijn verplaatst.
De inactieve status van de C2 -server betekent ook dat deze momenteel niet haalbaar is om de exacte set opdrachten te bepalen die worden verzonden naar geïnfecteerde eindpunten en de soorten gegevens die als antwoorden worden teruggestuurd.
“Hun activiteiten worden gekenmerkt door aanhoudende surveillance, data-exfiltratie en toegang op lange termijn, wat een sterk cyberspionagemotief suggereert,” zeiden de onderzoekers. “Hoewel hij historisch gericht was op Zuid -Azië, duidt dit incident op Zuid -Aziatische ambassades in Europa, duidt op een duidelijke uitbreiding van hun belangen op Europese diplomatieke communicatie en inlichtingen.”
