Se han observado que los líderes de amenazas sospechosos de lazos con India dirigen al Ministerio de Asuntos Exteriores europeo utilizando malware que puede cosechar datos confidenciales de huéspedes comprometidos.
Esta actividad proviene de un grupo de amenaza altamente persistente (APT) llamado Donot Team, también conocido como APT-C-35, Mint Tempest, Origami Elephant, Sector02 y Viceroy Tiger, por el Centro de Investigación Avanzada de Trellix. Ha sido calificado como activo desde 2016.
«Donot APT es conocido por usar malware de Windows construido a medida, incluidas las puertas traseras como YTY y GEDIT. A menudo se entrega a través de correos electrónicos de phishing y documentos maliciosos», dijeron los investigadores de Trellix Aniket Choukde, Aparna aripirala, Alisha Kadam, Akhil Reddy, Pham Duy Phuc y Alex Lanstein.
«Este grupo de amenazas generalmente está dirigido a las agencias gubernamentales, el Ministerio de Asuntos Exteriores, organizaciones de defensa, particularmente organizaciones del sur de Asia y Europa».
La cadena de ataque se lanza con un correo electrónico de phishing destinado a los destinatarios a hacer clic en el enlace de Google Drive para activar una descarga del archivo RAR. Esto allana el camino para el despliegue de malware llamado Loptikmod.
Los mensajes para cada trelix provienen de su dirección de Gmail y están suplantados como personal de defensa. Esto utiliza una línea de asunto que se refiere a visitas de defensa italiana a Dhaka, Bangladesh.
«Los correos electrónicos mostrarán atención al detalle para mejorar la legitimidad para mostrar adecuadamente caracteres especiales como» é «en» Aitthre «utilizando el formato HTML en la codificación UTF-8», señaló en el desmantelamiento de la secuencia de infección.
RAR Archives distribuidos por correo electrónico contiene ejecutables maliciosos que imitan los documentos PDF. Esto provoca la ejecución del troyano de acceso remoto de Loptikmod, lo que le permite establecer la persistencia del host a través de tareas programadas, enviar información del sistema, recibir comandos, descargar módulos adicionales y agregar datos.
También emplea tecnología anti-VM y ofuscación ASCII para interferir con la ejecución en entornos virtuales y evitar el análisis, lo que hace que sea más difícil determinar el propósito de la herramienta. Además, este ataque asegura que solo una instancia de malware se ejecute activamente sobre el sistema comprometido para evitar una interferencia potencial.
Trellix dice que el servidor de comando y control (C2) utilizado en la campaña está actualmente inactivo. Esto significa que la infraestructura fue desactivada temporalmente, dejó de trabajar o los actores de amenaza se han trasladado a un servidor completamente diferente.
El estado inactivo del servidor C2 significa que actualmente es imposible determinar el conjunto exacto de comandos enviados al punto final infectado y el tipo de datos enviados en respuesta.
«Sus operaciones se caracterizan por una vigilancia sostenida, exfoliación de datos y acceso a largo plazo, lo que sugiere una fuerte motivación cibernética», dijeron los investigadores. «Si bien históricamente se centró en el sur de Asia, este incidente dirigido a la embajada del sur de Asia en Europa muestra una clara expansión de sus intereses en la comunicación e inteligencia diplomática europea».
Source link
