Een dreigingsactor met mogelijke banden met een Indiaas cyberbeveiligingsbedrijf is sinds ten minste september 2020 opmerkelijk volhardend in zijn aanvallen op militaire organisaties in Zuid-Azië, waaronder Bangladesh, Nepal en Sri Lanka, door verschillende varianten van zijn op maat gemaakte malware in te zetten. kader.
Het Slowaakse cyberbeveiligingsbedrijf ESET schreef de zeer gerichte aanval toe aan een hackgroep die bekend staat als Donot-team. “Donot Team heeft zich elke twee tot vier maanden consequent op dezelfde entiteiten gericht met golven van spear-phishing-e-mails met kwaadaardige bijlagen”, onderzoekers Facundo Muñoz en Matías Porolli zei.
Donot Team (ook bekend als APT-C-35 en SectorE02) is actief sinds ten minste 2016 en is in verband gebracht met een reeks inbraken die voornamelijk gericht zijn op ambassades, regeringen en militaire entiteiten in Bangladesh, Sri Lanka, Pakistan en Nepal met Windows en Android-malware.
In oktober 2021 heeft Amnesty International bewijs gevonden dat de aanvalsinfrastructuur van de groep koppelt aan een Indiaas cyberbeveiligingsbedrijf genaamd Innefu Labs, waardoor vermoedens ontstaan dat de dreigingsactor de spyware verkoopt of een hacker-for-hire-service aanbiedt aan regeringen van de regio.
Hoewel het niet ongebruikelijk is voor APT-groepen om een eerder gecompromitteerd netwerk opnieuw aan te vallen door verborgen achterdeurtjes in te zetten om hun sporen te verbergen, probeert Donot Team een andere weg in die zin dat het meerdere varianten van de malware in zijn arsenaal inzet.
Het zogenaamde yty-malwareframework, geleverd via bewapende Microsoft Office-documenten, is een keten van tussenliggende downloaders die uitmondt in de uitvoering van een achterdeur, die zorgt voor het ophalen van extra componenten die bestanden kunnen verzamelen, toetsaanslagen en schermafbeeldingen kunnen opnemen en omgekeerde shells kunnen inzetten voor toegang op afstand.
ESET noemde de nieuwe varianten van yty, DarkMusical en Gedit, met telemetriegegevens die wijzen op aanvallen van een derde variant genaamd Jaca van maart tot juli 2021. De eerste golf van aanvallen met DarkMusical zou hebben plaatsgevonden in juni 2021, terwijl Gedit-gerelateerde campagnes al in september 2020 werden waargenomen, om een jaar later het tempo op te voeren.
Bovendien maakte een vierde reeks aanvallen die plaatsvonden tussen februari en maart 2021 op militaire organisaties in Bangladesh en Sri Lanka gebruik van een aangepaste versie van Gedit met de codenaam Henos.
“Donot Team compenseert zijn lage verfijning met vasthoudendheid”, concludeerden de onderzoekers. “We verwachten dat het ondanks de vele tegenslagen door zal blijven gaan. Alleen de tijd zal leren of de groep zijn huidige TTP’s en malware verder ontwikkelt.”
