近日,研究人员分析了几个来自南亚的APT组织,包括Transparent Tribe和SideCopy等。在分析过程中,研究人员发现了一个以前未知的 RAT,并根据二进制有效负载中留下的特定 PDB 字符串,将这些样本称为SDuser样本。SDuser VBA 代码和 Donot VBA 代码之间具有很强的相似性。通过代码相似性检测方法,研究人员确认了南亚APT之间的代码重用。 简况Transparent TribeTransparent Tribe(透明部落、APT36) 是一个在南亚运营超过五年的组织。该组织在恶意文件中使用的诱饵表明,其目标是印度政府和军事组织。透明部落在大多数相关活动中使用的主要有效载荷是 Crimson 和 Oblique RAT 的变体,这表明他们的活动目标是获得立足点和持久的远程访问。
1月18日,研究人员披露了Donot组织近期攻击活动的细节。攻击者在此次活动使用了2种恶意软件变体:DarkMusical和Gedit,主要针对孟加拉国、斯里兰卡、巴基斯坦和尼泊尔等地的政府和军事组织、外交部和大使馆。 简况Donot又名APT-C-35和SectorE02,至少从2016年开始活跃,此前国际特赦组织曾将其与印度的网络安全公司Innefu Labs联系起来。Donot组织每两到四个月向相同的目标发送带有恶意附件的鱼叉式钓鱼电子邮件,通过邮件使用恶意 Microsoft Office 文档来部署恶意软件。
近日,研究人员捕获一起肚脑虫 APT 组织近期疑似针对孟加拉国攻击活动。在此攻击活动中,攻击者主要以”孟加拉国职业大学2021年电子工程专业演示文稿”为主题,将PPT诱饵文件通过钓鱼邮件发送给受害者。当受害者打开诱饵文件并执行宏后,会上传计算机和用户基本信息到远程服务器,并下载后续攻击模块到本地执行。 简况Donot“肚脑虫”是疑似具有南亚背景的 APT 组织,其主要以周边国家包括巴基斯坦、孟加拉国、尼泊尔和斯里兰卡的政府和军事为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对 Windows 与 Android 双平台的攻击能力。
Donot是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。近日,研究人员捕获一起Donot APT组织近期的攻击活动。 简况此次活动具有以下特点:1.RTF文档中嵌入Package对象,打开后自动释放文件到%temp%目录,2.C2不再硬编码到文件中,而是由第三方网站托管;3.此次捕获多个组件,相比以前功能较为完善。 样本攻击流程如下: 样本为RTF文档,打开后为空白页面。文档内嵌了2个对象,一个名为”Package”的对象,RTF打开后会自动释放此对象到%temp%\syswow64.dll,另一个为Equation对象用来触发cve-2017-11882漏洞,漏洞触发后会下载hxxp://wordfile.live/goHULMS9jXVytbJi/LUPQwf50wsIPdieiJjMb9nV4g5WlDRTzL00cZ3y7PXsdRdQN作为shellcode在内存中执行。
安恒威胁情报中心在日常威胁狩猎中捕获到多个Donot APT组织的攻击活动样本。该批样本保持了Donot组织一段时间以来的攻击作战风格。 简况本次捕获的初始攻击样本是一个包含恶意宏代码的PPT文档:样本名称DME_Project.ppt样本类型Microsoft Office PowerPoint 97-2003 演示文稿 (.ppt)样本大小1.47 MB (1,550,336 字节)样本MD58638576e6c72f38273ad4a0fee28b5b6当用户点击打开该文档时,会弹出提示框表明存在宏代码。如果用户忽略该安全提示启用宏,则包含在文档中的恶意代码将会执行,由于文档中没有具体的内容,为了迷惑受害者,恶意代码还会伪装文件打开失败的警告信息让用户降低警惕。该手法已经在此前Donot APT组织的多次攻击活动中被使用。
近期,国际特赦组织的一项新调查发现,多哥(西非国家)的活动家成为Donot组织的攻击目标,该组织使用虚假的Android应用程序针对著名的多哥人权活动家,这是该组织首次在南亚地区外使用间谍软件的攻击示例。研究人员在调查中将本次攻击所使用到的间谍软件和基础设施,与印度网络安全公司Innefu Labs关联了起来。 简况在2019年年底至2020年初,多哥国家处于非常有争议的政治敏感时期,报告称当时攻击者试图同时使用 Android 和 Windows 间谍软件来破坏一位身份不明的人权捍卫者的设备,但攻击并没有成功。政治活动家希望在活动过程中保持匿名,他们是该国人权的重要发声任务,这些活动家的设备在 2019 年 12 月至去年 1 月期间成为攻击目标,当时正值 2020 年多哥总统大选前的紧张政治时期。
近日,研究人员发现,南亚地区 APT组织近期攻击活动频发。其利用恶意RTF模板注入漏洞利用样本对周边国家地区开展了多次攻击活动。在此次攻击活动中,攻击者利用此前披露的Donot组织类似攻击手法,疑似针对阿富汗地区。攻击样本所加载的Payload均采用多层解密,最后阶段的恶意代码BaneChant(MMCore)后门为内存加载,增加了样本的查杀难度。经过分析,研究人员认为此次攻击或应归属到Donot组织,但不排除与Patchwork组织存在联系。简况南亚地区一直以来都是APT 组织攻击活动的活跃区域之一。自2013年5月国外安全公司Norman披露 Hangover 行动(即摩诃草组织)以来,先后出现了多个在该地域活跃的不同命名的APT组织,并且延伸出错综复杂的关联性,包括摩诃草(APT-C-09、HangOver、Patchwork、白象)、蔓灵花(APT-C-08、BITTE)、肚脑虫(APT-C-35、Donot)、魔罗桫(Confucius)、响尾蛇(Sidewinder、APT-C-17) 等。
近期,安恒威胁情报中心猎影实验室捕获到多个Donot APT组织攻击活动样本。该批样本保持了Donot组织一段时间以来的攻击作战风格,通过向目标群体发送带有远程模板注入的rtf文档或者包含恶意宏代码的诱饵文档实行网络攻击。通过诱饵文档所使用的 “美国和北约从阿富汗撤军的影响”、“采购政策修订”等名称标题,研究人员推测,本次被攻击目标群体很可能是国外的重要军事部门或与军事相关的专业人员。简况Donot(肚脑虫、APT-C-35)是一个疑似具有印度背景的APT组织。该组织主要针对巴基斯坦、克什米尔等南亚地区国家进行网络间谍活动。并且同时拥有针对Windows与Android双平台的攻击能力,通常以窃密目标群体设备敏感信息为主要目的。猎影实验室捕获的部分诱饵样本如下所示:
研究人员在对肚脑虫组织(APT-C-35)追踪溯源的过程中,发现该组织使用了一系列新型的后门框架,并多次对其程序进行更新。研究人员根据这些后门框架使用的组件名,将其命名为“Jaca”框架。肚脑虫组织(APT-C-35)又称Donot,是一个针对巴基斯坦、斯里兰卡等印度周边国家政府机构等领域进行网络间谍活动,以窃取敏感信息为主的攻击组织。近两年Donot在攻击流程上大体保持一致。通过鱼叉邮件的方式向目标用户投递远程模板注入文档或者是恶意宏文档,如下图:Donot攻击流程研究人员捕获到Donot使用的“Jaca”框架具有以下攻击组件:
近日,研究人员发现Donot APT组织近期攻击频繁,其利用恶意RTF模板注入以及公式编辑漏洞利用样本对周边国家地区开展了多次攻击活动。捕获的样本以“泰国皇家海军第82指挥和参谋课程”、“OPS检查细节”,“OPS需求”、“国防部副本”等标题作为诱饵文档进行攻击活动。其中OPS疑似是位于泰国的石油天然气公司。根据诱饵标题猜测该组织疑似开始针对泰国开展攻击活动。Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。.
