Команда DoNot последовательна в своих ТТП, инфраструктуре и целях. Они также известны своими постоянными обновлениями и усовершенствованиями своего инструментария.
В основном группа атакует организации в Индии, Пакистане, Шри-Ланке, Бангладеш и других странах Южной Азии. Они фокусируются на правительственных и военных организациях, министерствах иностранных дел и посольствах.
DoNot Team APT
Для первоначального заражения DoNot Team использует фишинговые письма, содержащие вредоносные вложения. Для загрузки на следующем этапе они используют макросы Microsoft Office и RTF-файлы, эксплуатируя уязвимость Equation Editor и удаленную инъекцию шаблонов.
Известные TTPs, или общие черты вредоносного ПО, включают:
- Модульная архитектура, где каждый модуль поставляется в отдельном файле.
- Функциональные возможности: сбор файлов, скриншоты, кейлоггинг, обратный shell, кража браузера и сбор системной информации.
- Различные языки программирования, такие как C++, .NET, Python и т.д.
- Использование Google Drive для хранения адресов серверов командования и управления (C2)
- Множество доменов, используемых для различных целей на протяжении всей цепочки заражения
Все ранее известные варианты фреймворка, приписываемые команде DoNot, имеют схожие признаки.
Morphisec Labs выявила новую цепочку заражения DoNot, которая вводит новые модули во фреймворк Windows.
Indicators of Compromise
Domains
- beetelson.xyz
- clipboardgames.xyz
- dayspringdesk.xyz
- doctorstrange.buzz
- esr.suppservices.xyz
- fitnesscheck.xyz
- globalseasurfer.xyz
- kotlinn.xyz
- ser.dermlogged.xyz
- srvrfontsdrive.xyz
- tobaccosafe.xyz
- worldpro.buzz
SHA256
- 28c71461ac5cf56d4dd63ed4a6bc185a54f28b2ea677eee5251a5cdad07077b8
- 2c84b325b8dc5554f216cb6a0663c8ff5d725b2f26a5e692f7b3997754c98d4d
- 41c221c4f14a5f93039de577d0a76e918c915862986a8b9870df1c679469895c
- 486f772d81a3b90ba76617fd5f49d9ca99dac1051a9918222cfa25117888a1d5
- 5ebee134afe192cdc7fc5cc9f83b8273b6f282a6a382c709f2a21d26f532b2d3
- 6e7b6cc2dd3ae311061fefa151dbb07d8e8a305aed00fa591d5b1cce43b9b0de
- 7fc0e9c47c02835ecbbb63e209287be215656d82b868685a61201f8212d083d9
- 80f2f4b6b1f06cf8de794a8d6be7b421ec1d4aeb71d03cccfc4b3dfd1b037993
- 90cb497cad8537da3c02be7e8d277d29b78b53f78d13c797a9cd1e733724cf78
- 93ca5ec47baeb7884c05956ff52d28afe6ac49e7aba2964e0e6f2514d7942ef8
- 9761bae130d40280a495793fd639b2cb9d8c28ad7ac3a8f10546eb3d2fc3eefc
- 9b2ef052657350f5c67f999947cf8cd6d06a685875c31e70d7178ffb396b5b96
- a70038cdf5aea822d3560471151ce8f8bacd259655320dea77d48ccfa5b5af4f
- d3a05cb5b4ae4454079e1b0a8615c449b01ad65c5c3ecf56b563b10a38ecfdef
- d566680ca3724ce242d009e5a46747c4336c0d3515ad11bede5fd9c95cf6b4ce
- d71fa80d71b2c68c521ed22ffb21a2cff12839348af6b217d9d2156adb00e550
- f0c1794711f3090deb2e87d8542f7c683d45dc41e4087c99ce3dca4b28a9e6f6