DoNot APT IOCs - Part 3

security IOC

Исследователи из Cyble обнаружили недавнюю кампанию, связанную с группой DoNot, направленную на производственный сектор Пакистана, в основном на отрасли, поддерживающие морские и оборонные операции.

DoNot APT

Атака использует вредоносные файлы .LNK, замаскированные под документы RTF и распространяемые потенциально через спам-письма. После выполнения LNK-файл использует PowerShell для расшифровки и развертывания документа-приманки и вредоносной программы stager, создавая запланированную задачу для сохранения, выполняя полезную нагрузку DLL каждые пять минут.

Среди ключевых достижений этой кампании - обновленные методы шифрования командно-контрольной связи (C&C), переход от старых методов на основе XOR к шифрованию AES с кодировкой Base64. Кроме того, теперь вредоносная программа встраивает ключи дешифрования в загружаемый бинарный файл, а не в файл конфигурации, что усложняет обнаружение и анализ. Также используется динамическая генерация доменов для резервной связи с C&C, что повышает устойчивость к внешним воздействиям.
Перед отправкой конечной полезной нагрузки вредоносная программа собирает информацию о системе, например об установленных продуктах безопасности, чтобы определить ценность цели. Он использует переменные окружения для хранения ключевых деталей конфигурации, включая адреса C&C и расписания задач. Примечательно, что группа DoNot сменила первоначальный вектор заражения с файлов Microsoft Office на файлы .LNK, демонстрируя эволюционирующую тактику обхода защитных систем.

Indicators of Compromise

Domains

  • Internalfileserver.online

SHA256

  • a7893c54edaecaa0e56010576a8249ad9149456f5d379868a0ecaa4c5c33fa70
  • cffe7eb01000de809b79a711702eaf3773f2e6167ce440f33f30bcd6fabcace3
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий