Những cải tiến cũng bao gồm một chuỗi lây nhiễm mới kết hợp các thành phần không có giấy tờ trước đây vào khung mô-đun, các nhà nghiên cứu của Morphisec, Hido Cohen và Arnold Osipov tiết lộ trong một báo cáo được công bố vào tuần trước.
Còn được gọi là APT-C-35 và Viceroy Tiger, Đội Donot được biết đến với việc đặt mục tiêu vào các thực thể quốc phòng, ngoại giao, chính phủ và quân sự ở Ấn Độ, Pakistan, Sri Lanka và Bangladesh, trong số những người khác ít nhất là từ năm 2016.
Bằng chứng được Tổ chức Ân xá Quốc tế khai quật vào tháng 2021 năm XNUMX đã kết nối cơ sở hạ tầng tấn công của nhóm với một công ty an ninh mạng Ấn Độ có tên Innefu Labs.
Các chiến dịch spear-phishing chứa các tài liệu Microsoft Office độc hại là con đường phân phối ưa thích cho phần mềm độc hại, tiếp theo là tận dụng các macro và các lỗ hổng đã biết khác trong phần mềm năng suất để khởi chạy cửa hậu.
Những phát hiện mới nhất từ Morphisec được xây dựng dựa trên một báo cáo trước đó từ công ty an ninh mạng ESET, trong đó nêu chi tiết các cuộc xâm nhập của đối thủ chống lại các tổ chức quân sự có trụ sở tại Nam Á bằng cách sử dụng một số phiên bản của khuôn khổ phần mềm độc hại yty của nó, một trong số đó là Jaca.
Điều này đòi hỏi phải sử dụng các tài liệu RTF để lừa người dùng bật macro, dẫn đến việc thực thi một đoạn shellcode được đưa vào bộ nhớ, do đó, được điều phối để tải xuống shellcode giai đoạn thứ hai từ máy chủ chỉ huy và điều khiển (C2) của nó.
Giai đoạn thứ hai sau đó hoạt động như một kênh để truy xuất tệp DLL (“pgixedfxglmjirdc.dll” từ một máy chủ từ xa khác, bắt đầu sự lây nhiễm thực tế bằng cách báo hiệu thông tin hệ thống cho máy chủ C2, thiết lập sự bền bỉ thông qua Tác vụ đã lên lịch và tìm nạp DLL giai đoạn tiếp theo (“WavemsMp.dll”).
“Mục đích chính của giai đoạn này là tải xuống và thực thi các mô-đun được sử dụng để đánh cắp thông tin của người dùng”, các nhà nghiên cứu lưu ý. “Để hiểu mô-đun nào được sử dụng trong quá trình lây nhiễm hiện tại, phần mềm độc hại giao tiếp với một máy chủ C2 khác.”
Về phần mình, miền C2 có được bằng cách truy cập vào một liên kết nhúng trỏ đến tài liệu Google Drive, cho phép phần mềm độc hại truy cập vào cấu hình ra lệnh cho các mô-đun được tải xuống và thực thi.
Các mô-đun này mở rộng các tính năng của phần mềm độc hại và thu thập một loạt dữ liệu như tổ hợp phím, ảnh chụp màn hình, tệp và thông tin được lưu trữ trong trình duyệt web. Ngoài ra, một phần của bộ công cụ là một mô-đun vỏ ngược cho phép diễn viên truy cập từ xa vào máy nạn nhân.
Sự phát triển này là một dấu hiệu khác cho thấy các tác nhân đe dọa đang tích cực điều chỉnh các chiến thuật và kỹ thuật của họ có hiệu quả nhất trong việc đạt được sự lây nhiễm ban đầu và duy trì quyền truy cập từ xa trong thời gian dài.
“Bảo vệ chống lại các APT như nhóm Donot đòi hỏi một chiến lược Defense-in-Depth sử dụng nhiều lớp bảo mật để đảm bảo dự phòng nếu bất kỳ lớp nhất định nào bị vi phạm”, các nhà nghiên cứu cho biết.