Тревожная новость пришла из сферы кибербезопасности: группировка DoNot APT (также известная как APT-C-35, Mint Tempest, Origami Elephant и другие названия) провела сложную атаку на правительственные организации Южной Европы. DoNot APT, по данным экспертов, действует с 2016 года и, вероятно, связана с Индией. Основные цели группировки - государственные учреждения, министерства иностранных дел, оборонные организации и НКО в Южной Азии и Европе.
Описание
Фишинг и облачные сервисы как оружие
Аналитики Trellix Advanced Research Center обнаружили, что злоумышленники использовали фишинговые письма, маскируясь под европейских дипломатов. В письмах упоминался визит в Бангладеш и содержалась ссылка на Google Drive, ведущая на вредоносный RAR-архив. Это демонстрирует, что DoNot APT активно использует легитимные облачные сервисы для начального заражения, что усложняет обнаружение атаки.
Многоэтапный механизм заражения
После загрузки жертвой файла SyClrLtr.rar (запароленного, но с паролем в письме) запускался исполняемый файл notflog.exe, замаскированный под PDF. Далее развертывался сложный механизм заражения:
- Создание временных файлов: В папке %TEMP% размещался bat-файл, обеспечивающий дальнейшую работу вредоноса.
- Устойчивость к перезагрузке: Через планировщик задач создавалась задача "PerformTaskMaintain", запускающаяся каждые 10 минут, чтобы поддерживать связь с сервером управления.
- Использование LoptikMod: Анализ показал, что зловред использует модифицированный вариант этого трояна, который ранее связывали исключительно с DoNot APT.
Обход защиты и сбор данных
Зловред применял несколько техник для усложнения анализа:
- Анти-VM проверки: Использование инструкции "IN" для выявления виртуальных сред и предотвращения запуска в песочнице.
- Динамическая загрузка API: Вместо стандартного импорта функций - вызов через LoadLibrary и GetProcAddress, чтобы скрыть реальные действия.
- Шифрование данных: Собранная информация (процессор, ОС, имя пользователя) кодировалась AES и Base64 перед отправкой.
Командно-контрольный сервер и слежка
Связь осуществлялась с доменом totalservices[.]info (64.52.80.252), куда передавались данные и откуда мог загружаться дополнительный модуль socker.dll. Этот этап позволяет предположить, что цель атаки - не только кража данных, но и длительный мониторинг жертвы.
Расширение географии атак
Раньше DoNot APT фокусировалась на Южной Азии, но теперь нацелена и на Европу. Это говорит либо о смене приоритетов, либо о работе по заказу новых заказчиков. Атака на дипломатическое ведомство подтверждает интерес группировки к геополитической разведке.
DoNot APT продолжает эволюционировать, и их атаки становятся все более незаметными. Без должного уровня защиты даже самые секретные данные могут оказаться в руках злоумышленников.
Индикаторы компрометации
IPv4
- 64.52.80.252
Domains
- totalservices.info
URLs
- drive.usercontent.google.com/download?id=1t-fBZBgVtW_S81qYGn9loubWZwIXjI_T
Emails
- int.dte.afd.1@gmail.com
SHA256
- 4d036e0a517774ba8bd31df522a8d9e327202548a5753e5de068190582758680
- 5317f22c60a4e08c4caa28bc84f653b1902fa082d2d1d7fcf2cd0ce1d29798d6