Donot Team 网络间谍组织更新其 Windows 恶意软件框架

Hackernews 编译，转载请注明出处：

Donot Team黑客，又名APT-C-35，为其Jaca Windows恶意软件框架添加了新功能。

Donot团队自2016年以来一直活跃，重点关注政府、军事组织、外交部以及印度、巴基斯坦、斯里兰卡、孟加拉国和其他南亚国家的大使馆。

2021年10月，大赦国际发布的一份报告表示，“Donot团队利用Android应用程序伪装成安全聊天应用程序和恶意电子邮件，针对多哥著名人权捍卫者进行攻击。过去，在南亚以外的攻击中发现了Donot团队间谍软件。调查还发现了这些攻击中使用的间谍软件和基础设施，与印度网络安全公司Innefu Labs之间的联系。”

攻击链从包含恶意附件的鱼叉式网络钓鱼电子邮件开始，一旦启用Microsoft Office宏，就会加载下一阶段的恶意软件，利用公式编辑器漏洞打开RTF文件，并通过远程模板注入。

“Morphisec Labs 确定了一个新的DoNot感染链，它将新模块引入Windows框架。在这篇文章中，我们详细介绍了shellcode加载器机制及其后续模块，确定了浏览器窃取器组件中的新功能，并分析了反向shell的新DLL变体。DoNot最新的鱼叉式网络钓鱼电子邮件活动使用了RTF文件针对政府部门，包括巴基斯坦国防部门。”Morphisec发布的报告中写道。

该组织现在改进了其Jaca Windows恶意软件框架，例如，它增强了浏览器窃取模块。与以前版本的模块不同，新版本使用前一阶段下载的四个附加可执行文件 (WavemsMp.dll)，而不是在DLL中实现窃取功能。每个附加的可执行文件都允许从Google Chrome和/或Mozilla Firefox中窃取信息。

在最近的攻击中，该组织使用RTF文档发送消息，欺骗用户启用宏。启用宏后，将一段shellcode注入内存，然后从C2服务器下载并执行第二阶段的shellcode。

第二阶段的shellcode从不同的远程服务器获取主DLL文件（“pgixedfxglmjirdc.dll”），它负责向C2服务器发送信号通知感染成功。它向服务器发送受感染机器的系统信息，然后下载下一阶段DLL，即模块下载器“WavemsMp.dll”。

这个阶段的主要目的是下载并执行用于窃取用户信息的模块。为了了解当前感染中使用了哪些模块，恶意软件与另一台C2服务器进行通信。恶意软件从嵌入式链接中获取新地址，该链接指向包含加密地址的Google Drive文档。

攻击者还实现了一个反向shell模块，该模块被重新编译为DLL。其功能保持不变，打开攻击者机器的套接字（位于162.33.177[.]41），创建一个新的隐藏cmd.exe进程并将STDIN、STDOUT和STDERR设置为套接字。

研究人员总结道：“防御像DoNot团队这样的APT需要深度防御策略，该策略使用多个安全层，以确保任何给定层被破坏时的冗余。最难防御的攻击是那些在运行时以应用程序为目标的攻击——比如这里详述的Windows框架。这是因为流行的安全解决方案（例如NGAV、EDR、EPP、XDR等）侧重于检测磁盘或操作系统上的异常情况，它们在运行时检测或阻止内存攻击的能力是有限的。在一定程度上，它们会导致严重的系统性能问题和错误警报，因为必须将它们调到最高警告级别。”

消息来源：securityaffairs，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文