Les Hackers De L'équipe Donot

La Ne pas l’équipe l’acteur de la menace a mis à jour son Jaca Boîte à outils Windows contre les logiciels malveillants avec des fonctionnalités améliorées, y compris un module de vol remanié conçu pour piller les informations des navigateurs Google Chrome et Mozilla Firefox.

Les améliorations incluent également une nouvelle chaîne d’infection qui intègre des composants auparavant non documentés au cadre modulaire, les chercheurs de Morphisec Hido Cohen et Arnold Osipov divulgué dans un rapport publié la semaine dernière.

Également connue sous le nom d’APT-C-35 et de Viceroy Tiger, l’équipe Donot est connue pour avoir jeté son dévolu sur des entités de défense, diplomatiques, gouvernementales et militaires en Inde, au Pakistan, au Sri Lanka et au Bangladesh, entre autres au moins depuis 2016.

Des preuves découvertes par Amnesty International en octobre 2021 reliaient l’infrastructure d’attaque du groupe à une société indienne de cybersécurité appelée Innefu Labs.

La Cyber-Sécurité

Les campagnes de harponnage contenant des documents Microsoft Office malveillants sont la voie de diffusion préférée des logiciels malveillants, suivies par l’exploitation des macros et d’autres vulnérabilités connues dans le logiciel de productivité pour lancer la porte dérobée.

Publicité

Les dernières découvertes de Morphisec s’appuient sur un rapport antérieur de la société de cybersécurité ESET, qui détaillait les intrusions de l’adversaire contre des organisations militaires basées en Asie du Sud en utilisant plusieurs versions de son framework de logiciels malveillants yty, dont Jaca.

Les Hackers De L'équipe Donot

Cela implique l’utilisation de documents RTF qui incitent les utilisateurs à activer des macros, ce qui entraîne l’exécution d’un morceau de shellcode injecté dans la mémoire qui, à son tour, est orchestré pour télécharger un shellcode de deuxième étape à partir de son command-and-control (C2) serveur.

La deuxième étape agit ensuite comme un canal pour récupérer un fichier DLL (« pgixedfxglmjirdc.dll » à partir d’un autre serveur distant, qui démarre l’infection réelle en signalant les informations système au serveur C2, en établissant la persistance via une tâche planifiée et en récupérant la DLL de l’étape suivante (« WavemsMp.dll »).

« Le but principal de cette étape est de télécharger et d’exécuter les modules utilisés pour voler les informations de l’utilisateur », ont noté les chercheurs. « Pour comprendre quels modules sont utilisés dans l’infection actuelle, le logiciel malveillant communique avec un autre serveur C2. »

La Cyber-Sécurité

Le domaine C2, quant à lui, est obtenu en accédant à un lien embarqué qui pointe vers un document Google Drive, permettant au malware d’accéder à une configuration qui dicte les modules à télécharger et à exécuter.

Ces modules étendent les fonctionnalités du logiciel malveillant et collectent un large éventail de données telles que les frappes au clavier, les captures d’écran, les fichiers et les informations stockées dans les navigateurs Web. En outre, une partie de l’ensemble d’outils est un module de shell inversé qui accorde à l’acteur un accès à distance à la machine victime.

Ce développement est un autre signe que les acteurs de la menace adaptent activement leurs tactiques et techniques qui sont les plus efficaces pour obtenir l’infection initiale et maintenir l’accès à distance pendant de longues périodes.

« Se défendre contre des APT comme l’équipe Donot nécessite une stratégie de défense en profondeur qui utilise plusieurs couches de sécurité pour assurer la redondance en cas de violation d’une couche donnée », ont déclaré les chercheurs.


Rate this post
Publicité
Article précédentQue faire si votre smartphone est perdu ou volé
Article suivantMèmes Roblox – mèmes Roblox drôles
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici