Die Hackergruppe Donot Team (auch bekannt als APT-C-35 oder SectorE02) hat seit mindestens zwei Jahren Spionageangriffe auf Botschaften, Regierungs- und Militäreinrichtungen sowie Außenministerien durchgeführt. Laut den Analysen der ESET Forscher konzentrierten sich die Kampagnen der Gruppe auf Ziele in Bangladesch, Sri Lanka, Pakistan und Nepal. Hierbei wurden auch deren diplomatische Einrichtungen in Europa, dem Nahen Osten und Amerika attackiert. Die Analyse zu den Aktivitäten des Donot Teams ist auf dem Security-Blog WeLiveSecurity.de verfügbar.
„Wir haben die Aktivitäten des Donot Teams sehr genau untersucht und sind dabei mehreren Kampagnen auf die Spur gekommen“, sagt Facundo Muñoz, ESET Forscher und Leiter der Untersuchungen. „Bei ihren Angriffen setzen die Hacker auf Windows-Malware, die vom yty-Malware-Framework der Gruppe stammt.“
Der Hauptzweck des yty-Malware-Frameworks besteht darin, Daten zu sammeln und zu exfiltrieren. Das Framework besteht aus einer Kette von Downloadern, die letztlich eine Backdoor zu installieren herunterladen, über die weitere Komponenten der Donot-Team-Werkzeuge heruntergeladen und ausgeführt werden. Dazu gehören Dateisammler, Screen-Capturer, Keylogger, Reverse Shells und mehr.
Spearphishing-Angriffe auf Einrichtungen
Ein genauer Blick auf die Analysedaten hat gezeigt, dass das Donot Team alle zwei bis vier Monate dieselben Einrichtungen mit Spearphishing-E-Mails angegriffen hat. Die Nachrichten enthalten bösartige Microsoft Office-Dokumente im Anhang, die die Angreifer zur Verbreitung ihrer Malware nutzen. Interessanterweise wiesen die E-Mails, die sich die ESET Forscher genauer anschauen konnten, keine Anzeichen von Spoofing auf. „Einige Nachrichten wurden von denselben Organisationen verschickt, die auch attackiert wurden. Es ist möglich, dass die Angreifer die Postfächer von einigen ihrer Opfer in früheren Kampagnen kompromittiert haben oder den von diesen Organisationen verwendeten Mail-Server", sagt Muñoz.
In ihrem aktuellen Blog-Artikel analysieren die ESET Forscher zwei Varianten des yty-Malware-Frameworks: Gedit und DarkMusical. Die Experten des europäischen IT-Sicherheitsherstellers haben sich dazu entschlossen, eine Variante DarkMusical zu nennen, weil die Angreifer für ihre Daten und Ordner Namen westlicher Berühmtheiten oder Figuren aus dem Film „High School Musical“ wählten. Dieses Schadprogramm kam in Kampagnen zum Einsatz, die auf militärische Einrichtungen in Bangladesch und Nepal abzielten.
Detaillierte Informationen gibt es im Blog-Artikel auf WeLiveSecurity: www.welivesecurity.com/deutsch/2022/01/19/neue-angriffe-von-donot-team/