DoNot Team APT IOCs

security IOC
Опубликовано

Команда DoNot последовательна в своих ТТП, инфраструктуре и целях. Они также известны своими постоянными обновлениями и усовершенствованиями своего инструментария.
В основном группа атакует организации в Индии, Пакистане, Шри-Ланке, Бангладеш и других странах Южной Азии. Они фокусируются на правительственных и военных организациях, министерствах иностранных дел и посольствах.

DoNot Team APT

Для первоначального заражения DoNot Team использует фишинговые письма, содержащие вредоносные вложения. Для загрузки на следующем этапе они используют макросы Microsoft Office и RTF-файлы, эксплуатируя уязвимость Equation Editor и удаленную инъекцию шаблонов.
Известные TTPs, или общие черты вредоносного ПО, включают:

  • Модульная архитектура, где каждый модуль поставляется в отдельном файле.
  • Функциональные возможности: сбор файлов, скриншоты, кейлоггинг, обратный shell, кража браузера и сбор системной информации.
  • Различные языки программирования, такие как C++, .NET, Python и т.д.
  • Использование Google Drive для хранения адресов серверов командования и управления (C2)
  • Множество доменов, используемых для различных целей на протяжении всей цепочки заражения

Все ранее известные варианты фреймворка, приписываемые команде DoNot, имеют схожие признаки.

Morphisec Labs выявила новую цепочку заражения DoNot, которая вводит новые модули во фреймворк Windows.

Indicators of Compromise

Domains

  • beetelson.xyz
  • clipboardgames.xyz
  • dayspringdesk.xyz
  • doctorstrange.buzz
  • esr.suppservices.xyz
  • fitnesscheck.xyz
  • globalseasurfer.xyz
  • kotlinn.xyz
  • ser.dermlogged.xyz
  • srvrfontsdrive.xyz
  • tobaccosafe.xyz
  • worldpro.buzz

SHA256

  • 28c71461ac5cf56d4dd63ed4a6bc185a54f28b2ea677eee5251a5cdad07077b8
  • 2c84b325b8dc5554f216cb6a0663c8ff5d725b2f26a5e692f7b3997754c98d4d
  • 41c221c4f14a5f93039de577d0a76e918c915862986a8b9870df1c679469895c
  • 486f772d81a3b90ba76617fd5f49d9ca99dac1051a9918222cfa25117888a1d5
  • 5ebee134afe192cdc7fc5cc9f83b8273b6f282a6a382c709f2a21d26f532b2d3
  • 6e7b6cc2dd3ae311061fefa151dbb07d8e8a305aed00fa591d5b1cce43b9b0de
  • 7fc0e9c47c02835ecbbb63e209287be215656d82b868685a61201f8212d083d9
  • 80f2f4b6b1f06cf8de794a8d6be7b421ec1d4aeb71d03cccfc4b3dfd1b037993
  • 90cb497cad8537da3c02be7e8d277d29b78b53f78d13c797a9cd1e733724cf78
  • 93ca5ec47baeb7884c05956ff52d28afe6ac49e7aba2964e0e6f2514d7942ef8
  • 9761bae130d40280a495793fd639b2cb9d8c28ad7ac3a8f10546eb3d2fc3eefc
  • 9b2ef052657350f5c67f999947cf8cd6d06a685875c31e70d7178ffb396b5b96
  • a70038cdf5aea822d3560471151ce8f8bacd259655320dea77d48ccfa5b5af4f
  • d3a05cb5b4ae4454079e1b0a8615c449b01ad65c5c3ecf56b563b10a38ecfdef
  • d566680ca3724ce242d009e5a46747c4336c0d3515ad11bede5fd9c95cf6b4ce
  • d71fa80d71b2c68c521ed22ffb21a2cff12839348af6b217d9d2156adb00e550
  • f0c1794711f3090deb2e87d8542f7c683d45dc41e4087c99ce3dca4b28a9e6f6
Похожие записи:
  1. TA423 / Red Ladon APT IOCs
  2. Void Balaur APT IOCs
  3. Scarlet Mimic APT IOCs
  4. Metador APT IOCs
  5. Fancy Bear (APT28) APT IOCs - Part 2
APT APT-C-35 DoNot Team Morphisec Labs
Добавить комментарий