Hintli bir siber güvenlik şirketiyle potansiyel bağlantıları olan bir tehdit aktörü, en azından Eylül 2020’den bu yana, ısmarlama kötü amaçlı yazılımının farklı türevlerini dağıtarak, Bangladeş, Nepal ve Sri Lanka da dahil olmak üzere Güney Asya’daki askeri kuruluşlara yönelik saldırılarında kayda değer ölçüde ısrarcıysa, hiçbir şey değildir. çerçeve.
Slovak siber güvenlik firması ESET, yüksek oranda hedefli saldırıyı, olarak bilinen bir bilgisayar korsanlığı grubuna bağladı. Bağış Takımı. Araştırmacılar Facundo Muñoz ve Matías Porolli, “Donot Ekibi, her iki ila dört ayda bir kötü niyetli ekler içeren mızraklı kimlik avı e-posta dalgalarıyla aynı varlıkları sürekli olarak hedefliyor” dedi. söz konusu.
En az 2016’dan beri faaliyet gösteren Donot Ekibi (APT-C-35 ve SectorE02 olarak da bilinir), öncelikle Bangladeş, Sri Lanka, Pakistan ve Nepal’deki büyükelçilikleri, hükümetleri ve askeri kuruluşları Windows ve Android kötü amaçlı yazılım.
Ekim 2021’de Uluslararası Af Örgütü, grubun saldırı altyapısını Innefu Labs adlı bir Hintli siber güvenlik şirketine bağlayan kanıtları ortaya çıkardı ve bu, tehdit aktörünün casus yazılımı satıyor olabileceği veya bölge hükümetlerine kiralık bilgisayar korsanları hizmeti sunduğuna dair şüpheleri artırdı.
APT gruplarının izlerini örtmek için daha gizli arka kapılar kurarak daha önce güvenliği ihlal edilmiş bir ağa yeniden saldırması alışılmadık bir durum olmasa da, Donot Team cephaneliğinde bulunan kötü amaçlı yazılımın birden çok çeşidini dağıtarak farklı bir yol dener.
Silahlaştırılmış Microsoft Office belgeleri aracılığıyla sunulan, sözde yty kötü amaçlı yazılım çerçevesi, dosyaları toplama, tuş vuruşlarını ve ekran görüntülerini kaydetme ve ters kabukları dağıtma yeteneğine sahip ek bileşenlerin alınmasıyla ilgilenen bir arka kapının yürütülmesiyle sonuçlanan bir aracı indiriciler zinciridir. uzaktan erişim için.
ESET, yty, DarkMusical ve Gedit’in yeni türevlerini adlandırdı ve telemetri verileri, üçüncü bir değişkenden gelen saldırılara işaret etti. jaka DarkMusical kullanan ilk saldırı dalgasının Haziran 2021’de gerçekleştiği söylenirken, Gedit ile ilgili kampanyalar Eylül 2020 gibi erken bir tarihte gözlemlendi, ancak bir yıl sonra hızlandı.
Dahası, Şubat ve Mart 2021 arasında Bangladeş ve Sri Lanka’daki askeri örgütleri hedef alan dördüncü saldırı grubu, Gedit kod adlı Henos’un değiştirilmiş bir sürümünden yararlandı.
Araştırmacılar, “Donot Ekibi, düşük karmaşıklığını azim ile telafi ediyor” dedi. “Birçok aksiliğe rağmen ilerlemeye devam etmesini bekliyoruz. Grubun mevcut TTP’lerini ve kötü amaçlı yazılımlarını geliştirip geliştirmediğini yalnızca zaman gösterecek.”
