Un acteur menaçant ayant des liens potentiels avec une société indienne de cybersécurité a été remarquablement persistant dans ses attaques contre des organisations militaires basées en Asie du Sud, notamment au Bangladesh, au Népal et au Sri Lanka, depuis au moins septembre 2020 en déployant différentes variantes de son logiciel malveillant sur mesure. cadre.
La société slovaque de cybersécurité ESET a attribué l’attaque hautement ciblée à un groupe de piratage connu sous le nom de Ne pas l’équipe. « L’équipe Donot a toujours ciblé les mêmes entités avec des vagues d’e-mails de harponnage avec des pièces jointes malveillantes tous les deux à quatre mois », ont déclaré les chercheurs Facundo Muñoz et Matías Porolli. mentionné.
Opérant depuis au moins 2016, Donot Team (également connu sous le nom d’APT-C-35 et SectorE02) a été lié à une série d’intrusions ciblant principalement les ambassades, les gouvernements et les entités militaires au Bangladesh, au Sri Lanka, au Pakistan et au Népal avec Windows et Logiciel malveillant Android.
En octobre 2021, Amnesty International a découvert des preuves liant l’infrastructure d’attaque du groupe à une société indienne de cybersécurité appelée Innefu Labs, ce qui fait soupçonner que l’auteur de la menace pourrait vendre le logiciel espion ou offrir un service de pirates informatiques aux gouvernements de la région.
Bien qu’il ne soit pas rare que des groupes APT réattaquent un réseau précédemment compromis en déployant des portes dérobées plus furtives pour dissimuler leurs traces, Donot Team essaie une approche différente en déployant plusieurs variantes du malware déjà dans son arsenal.
Livré via des documents Microsoft Office militarisés, le soi-disant framework de logiciels malveillants yty est une chaîne de téléchargeurs intermédiaires qui aboutit à l’exécution d’une porte dérobée, qui se charge de récupérer des composants supplémentaires capables de récolter des fichiers, d’enregistrer des frappes au clavier et des captures d’écran, et de déployer des shells inversés. pour un accès à distance.
ESET a baptisé les nouvelles variantes de yty, DarkMusical et Gedit, avec des données de télémétrie pointant vers les attaques d’une troisième variante appelée Jaca de mars à juillet 2021. La première vague d’attaques utilisant DarkMusical se serait produite en juin 2021, tandis que des campagnes liées à Gedit ont été observées dès septembre 2020, pour accélérer le rythme un an plus tard.
De plus, une quatrième série d’attaques survenues entre février et mars 2021 visant des organisations militaires au Bangladesh et au Sri Lanka a tiré parti d’une version modifiée de Gedit portant le nom de code Henos.
« Donot Team compense sa faible sophistication par sa ténacité », ont conclu les chercheurs. « Nous nous attendons à ce qu’il continue à pousser malgré ses nombreux revers. Seul le temps nous dira si le groupe fait évoluer ses TTP et logiciels malveillants actuels. »
