Spionageangriffe zielen auf Regierungen und Militärs in Südasien ab

Nächste PM

Die Hackergruppe Donot Team (auch bekannt als APT-C-35 oder SectorE02) hat seit mindestens zwei Jahren Spionageangriffe auf Botschaften, Regierungs- und Militäreinrichtungen sowie Außenministerien durchgeführt. Laut den Analysen der ESET Forscher konzentrierten sich die Kampagnen der Gruppe auf Ziele in Bangladesch, Sri Lanka, Pakistan und Nepal. Hierbei wurden auch deren diplomatische Einrichtungen in Europa, dem Nahen Osten und Amerika attackiert. Die Analyse zu den Aktivitäten des Donot Teams ist auf dem Security-Blog WeLiveSecurity.de verfügbar.

„Wir haben die Aktivitäten des Donot Teams sehr genau untersucht und sind dabei mehreren Kampagnen auf die Spur gekommen“, sagt Facundo Muñoz, ESET Forscher und Leiter der Untersuchungen. „Bei ihren Angriffen setzen die Hacker auf Windows-Malware, die vom yty-Malware-Framework der Gruppe stammt.“

Der Hauptzweck des yty-Malware-Frameworks besteht darin, Daten zu sammeln und zu exfiltrieren. Das Framework besteht aus einer Kette von Downloadern, die letztlich eine Backdoor zu installieren herunterladen, über die weitere Komponenten der Donot-Team-Werkzeuge heruntergeladen und ausgeführt werden. Dazu gehören Dateisammler, Screen-Capturer, Keylogger, Reverse Shells und mehr.

Spearphishing-Angriffe auf Einrichtungen

Ein genauer Blick auf die Analysedaten hat gezeigt, dass das Donot Team alle zwei bis vier Monate dieselben Einrichtungen mit Spearphishing-E-Mails angegriffen hat. Die Nachrichten enthalten bösartige Microsoft Office-Dokumente im Anhang, die die Angreifer zur Verbreitung ihrer Malware nutzen. Interessanterweise wiesen die E-Mails, die sich die ESET Forscher genauer anschauen konnten, keine Anzeichen von Spoofing auf. „Einige Nachrichten wurden von denselben Organisationen verschickt, die auch attackiert wurden. Es ist möglich, dass die Angreifer die Postfächer von einigen ihrer Opfer in früheren Kampagnen kompromittiert haben oder den von diesen Organisationen verwendeten Mail-Server", sagt Muñoz.

In ihrem aktuellen Blog-Artikel analysieren die ESET Forscher zwei Varianten des yty-Malware-Frameworks: Gedit und DarkMusical. Die Experten des europäischen IT-Sicherheitsherstellers haben sich dazu entschlossen, eine Variante DarkMusical zu nennen, weil die Angreifer für ihre Daten und Ordner Namen westlicher Berühmtheiten oder Figuren aus dem Film „High School Musical“ wählten. Dieses Schadprogramm kam in Kampagnen zum Einsatz, die auf militärische Einrichtungen in Bangladesch und Nepal abzielten.

Detaillierte Informationen gibt es im Blog-Artikel auf WeLiveSecurity: www.welivesecurity.com/deutsch/2022/01/19/neue-angriffe-von-donot-team/

Pressekontakt

Thorsten Urbanski
Head of Communication & PR DACH

thorsten.urbanski@eset.de

Michael Klatte
PR-Manager

michael.klatte@eset.de

Christian Lueg
PR-Manager

christian.lueg@eset.de

Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.