Rewterz опубликовал профиль APT-C-35, также известной как APT-группа Donot, группы кибершпионажа, действующей как минимум с 2013 года.
APT-группа Donot известна тем, что атакует правительственные и военные организации, а также компании аэрокосмической, оборонной и высокотехнологичной отраслей. Их деятельность была замечена в нескольких регионах, включая США, Европу и Азию.
Мотивами группы Donot являются кража информации и шпионаж. Группа известна тем, что атаковала пакистанских пользователей с помощью вредоносного ПО для Android под названием StealJob, маскируясь под именем «Kashmiri Voice», чтобы украсть конфиденциальную информацию и интеллектуальную собственность. В июле 2022 года они использовали сертификат Comodo для подписи своих шпионских программ, продемонстрировав тем самым свой высокий уровень технического мастерства.
APT-группа Donot применяет различные тактики, такие как колючие фишинговые письма, вредоносное ПО и разработанные на заказ инструменты, часто используя сторонние файлообменные сайты для распространения вредоносного ПО. Они хорошо финансируются и используют сложные методы для уклонения от обнаружения, включая шифрование и бесфайловые вредоносные программы.
Indicators of Compromise
Domains
- telsiairegion.xyz
- xingyu.ghshijie.com
- yuxuan.ghshijie.com
URLs
- https://xingyu.ghshijie.com/cvbcolo09/tqerwer8-OutFile
- https://yuxuan.ghshijie.com/jlytw07sev/fuol91mv-OutFile
MD5
- 8435ed22a631297a13bb3c265b4b71fc
- c58a7c4baffa401c71a1a333ecd0f956
SHA1
- 46a05a67a500a7cb787173053ecaeeef3785ebb3
- 47d9f52dd9ebadb7741dc2f84d7c1cc4212d4276
SHA256
- 6795dac9944b17ba82d40cf18ad5c57b8c4363bc5634d525bdbff3dfa18762d8
- e8071019c78f0c00c35cd6ce2ba413b524de46b190659bf729125e15c1989d17