APT-C-35 (Belly Brainworm), также известная как Donot, является оффшорной APT-группой из Южной Азии, которая занимается кибершпионажем против правительственных учреждений Пакистана и близлежащих регионов, с упором на кражу конфиденциальной информации. Атаки группы относятся к началу 2016 года, а в последние годы группа была активна и постоянно отслеживалась и раскрывалась несколькими национальными и международными группами безопасности.
В последнее время 360 Advanced Threat Research Institute неоднократно обнаруживал атакующую деятельность группы APT-C-35 (Belly Brainworm) в ходе ежедневной охоты за угрозами. В этом раунде атак группа по-прежнему использует макродокументы в качестве носителей вредоносного кода, выпускает вредоносные полезные нагрузки из себя и выполняет их, загружает модули удаленного управления через слои загрузки, чтобы реализовать операцию кражи, и вредоносный код всего процесса несет информацию цифровой подписи.
APT-C-35 (Belly Brainworm) использует в качестве вектора атаки документы PPT или XLS. Когда жертва открывает вредоносный документ, немедленно запускается zip-файл и пакетный файл, а также создаются 3 задания с таймером. Задача по расписанию Tls_SSL выполняет пакетный файл каждые 4 минуты, основная цель пакетного файла - распаковать выпущенный zip-файл для получения вредоносного исполняемого файла comd.exe и удалить задачу по расписанию Tls_SSL. Задача по расписанию My_Drive выполняет comd.exe через регулярные промежутки времени, comd.exe отвечает за продолжение загрузки следующего этапа. В то же время пакетный скрипт загружается в качестве элемента запуска запланированного задания Pls_SSL для запуска загруженной загрузки, основной функцией которой является загрузка модуля удаленного управления mnps.exe для осуществления вредоносной деятельности.
Группа APT-C-35 (Belly Brainworm) никогда не прекращала свою связанную с атаками деятельность с момента ее раскрытия в 2016 году и имеет тенденцию становиться все более активной. Злоумышленники в этой атаке загружают полезную нагрузку через слои вредоносного кода и комбинируют ее с заданиями, рассчитанными по времени, для достижения стойкости. Кроме того, в своих последних атаках группа больше не использует вредоносные библиотеки DLL в качестве промежуточных компонентов атаки, а в некоторых полезных нагрузках используются подписанные исполняемые файлы EXE, что говорит о том, что группа постоянно обновляет функциональность и форму вредоносного кода и демонстрирует функциональную модульность.
Indicators of Compromise
Domains
- best.tasterschoice.shop
- blogs.libraryutilitis.live
- blogs.tourseasons.xyz
- furnish.spacequery.live
URLs
- http://best.tasterschoice.shop/ceioriakgfigalrj/
- http://blogs.libraryutilitis.live/hkjnlkhfshjkls2/nrjukurjhajrjh
- http://blogs.libraryutilitis.live/nrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf
- http://blogs.libraryutilitis.live/olskh1ytg1s/vkajsrkaljrkjfa
- http://blogs.libraryutilitis.live/pjnrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf
- http://blogs.libraryutilitis.live/pjvrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka
- http://blogs.libraryutilitis.live/redpanda/biorjkdkrkjrkj
- http://blogs.libraryutilitis.live/redpanda1/bnrkajrkirklrl
- http://blogs.libraryutilitis.live/thfjhsgjhtab/niiorjkrkjk
- http://blogs.libraryutilitis.live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka
- http://blogs.tourseasons.xyz/msiioi3kkx/irahjdfjkjkjlkjfjl
- http://blogs.tourseasons.xyz/rhjhdjrjkfakjhrhjk
- http://furnish.spacequery.live/rikkdkeiirt0or784jjk2/kdjj48djj46dTrjd7a
- http://furnish.spacequery.live/uiscuerhsflkjs1/liorijfiahjruuehajkhrj
- http://furnish.spacequery.live/uiuernsicudkfjs2/tiryu3kkdiesao
- http://furnish.spacequery.live/xuiudguibat/nmioepjarjkuarkju
- http://furnish.spacequery.live:443/uiscuerhsflkjs1/liorijfiahjruuehajkhrj
- http://furnish.spacequery.live:443/xuiudguibat/nmioepjarjkuarkju
- https://blogs.libraryutilitis.live/hkjnlkhfshjkls2/nrjukurjhajrjh
- https://blogs.libraryutilitis.live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka
MD5
- 06e0d216969caa0dfd98269a860b153b
- 105fa5bc6ce7afb40b02054d669e9204
- 10de5e96ca4ba920f4b7b67258033fdb
- 1e606b8a3c288f988152456af206ff72
- 1fb52729c33875ad0be381e98b143673
- 309c1cd225571b18c82a1a25aff6ad02
- 3cd6fc1309294e4eb4bfb2e861e2f570
- 3e6ba2c0128030844d4a02088774802b
- 43298c256c4dc626a5788caa3e309d56
- 676a10be289cf8978af6cdbdba536678
- 68c6c735918e55954b3d22ce72c769a6
- 828174ee0a9f25eaad48957ced66b81d
- 8bee6f27245daf1c860713affb575731
- 9060531460f7152ca156aeeca090a13c
- 992acca21f1f0d818fb7d599d69d93b7
- 993befa3da4e0d10ee61f0b78c18d4cd
- b8cdc170848ed8716de3653a5f1e533f
- c9c77a74e732d8d4b37aab1037e6569a
- d4d0fc82312c60b6084ccab7245530a9
- d5166aa339e25f3f7f9d1d7a186650bc
- d947bf46867d66e645071d53d6b106bb
- dbd11c7f0074580015daa16b5900ac7b
- e55d17ba37bfba78dc4cdbd8cca9f36b
- fac06f63a30fcef45c3e7763442ed2ac