DoNot APT Group атакует правительственные структуры Южной Европы: раскрыта многоэтапная кампания кибершпионажа

APT

Тревожная новость пришла из сферы кибербезопасности: группировка DoNot APT (также известная как APT-C-35, Mint Tempest, Origami Elephant и другие названия) провела сложную атаку на правительственные организации Южной Европы. DoNot APT, по данным экспертов, действует с 2016 года и, вероятно, связана с Индией. Основные цели группировки - государственные учреждения, министерства иностранных дел, оборонные организации и НКО в Южной Азии и Европе.

Описание

Фишинг и облачные сервисы как оружие

Аналитики Trellix Advanced Research Center обнаружили, что злоумышленники использовали фишинговые письма, маскируясь под европейских дипломатов. В письмах упоминался визит в Бангладеш и содержалась ссылка на Google Drive, ведущая на вредоносный RAR-архив. Это демонстрирует, что DoNot APT активно использует легитимные облачные сервисы для начального заражения, что усложняет обнаружение атаки.

Многоэтапный механизм заражения

После загрузки жертвой файла SyClrLtr.rar (запароленного, но с паролем в письме) запускался исполняемый файл notflog.exe, замаскированный под PDF. Далее развертывался сложный механизм заражения:

  • Создание временных файлов: В папке %TEMP% размещался bat-файл, обеспечивающий дальнейшую работу вредоноса.
  • Устойчивость к перезагрузке: Через планировщик задач создавалась задача "PerformTaskMaintain", запускающаяся каждые 10 минут, чтобы поддерживать связь с сервером управления.
  • Использование LoptikMod: Анализ показал, что зловред использует модифицированный вариант этого трояна, который ранее связывали исключительно с DoNot APT.

Обход защиты и сбор данных

Зловред применял несколько техник для усложнения анализа:

  • Анти-VM проверки: Использование инструкции "IN" для выявления виртуальных сред и предотвращения запуска в песочнице.
  • Динамическая загрузка API: Вместо стандартного импорта функций - вызов через LoadLibrary и GetProcAddress, чтобы скрыть реальные действия.
  • Шифрование данных: Собранная информация (процессор, ОС, имя пользователя) кодировалась AES и Base64 перед отправкой.

Командно-контрольный сервер и слежка

Связь осуществлялась с доменом totalservices[.]info (64.52.80.252), куда передавались данные и откуда мог загружаться дополнительный модуль socker.dll. Этот этап позволяет предположить, что цель атаки - не только кража данных, но и длительный мониторинг жертвы.

Расширение географии атак

Раньше DoNot APT фокусировалась на Южной Азии, но теперь нацелена и на Европу. Это говорит либо о смене приоритетов, либо о работе по заказу новых заказчиков. Атака на дипломатическое ведомство подтверждает интерес группировки к геополитической разведке.

DoNot APT продолжает эволюционировать, и их атаки становятся все более незаметными. Без должного уровня защиты даже самые секретные данные могут оказаться в руках злоумышленников.

Индикаторы компрометации

IPv4

  • 64.52.80.252

Domains

  • totalservices.info

URLs

  • drive.usercontent.google.com/download?id=1t-fBZBgVtW_S81qYGn9loubWZwIXjI_T

Emails

  • int.dte.afd.1@gmail.com

SHA256

  • 4d036e0a517774ba8bd31df522a8d9e327202548a5753e5de068190582758680
  • 5317f22c60a4e08c4caa28bc84f653b1902fa082d2d1d7fcf2cd0ce1d29798d6
Комментарии: 0