Neue Angriffe von Donot Team

Donot Team ist ein mindestens 2016 tätiger Bedrohungsakteur, der auch bekannt als APT-C-35 und SectorE02 bekannt ist. In der Vergangenheit hat er Organisationen und Einzelpersonen in Südasien mit Windows- und Android-Malware angegriffen. Ein vor Kurzem erschienener Bericht von Amnesty International bringt die Malware der Gruppe mit einem indischen Cybersicherheitsunternehmen in Verbindung, das möglicherweise die Spyware verkauft oder Regierungen der Region einen Hacker-for-Hire-Service anbietet.

Wir haben die Aktivitäten des Donot-Teams genau beobachtet und dabei mehrere Kampagnen analysiert, die Windows-Malware aus dem charakteristischen yty-Malware-Framework der Gruppe nutzen. Unseren Erkenntnissen zufolge hat die Gruppe mindestens in den letzten zwei Jahren immer wieder dieselben Organisationen ins Visier genommen und dabei eine große Hartnäckigkeit demonstriert.

In diesem Blogpost dokumentieren wir zwei Varianten der Malware, die in den letzten Kampagnen eingesetzt wurde – DarkMusical und Gedit. Wir analysieren die gesamte Angriffskette jeder Variante und geben darin Einblick, wie die Gruppe ihre Tools, Taktiken und Techniken aktualisiert.

Ziele

Die Kampagnen von Donot Team zielen auf Spionage ab und verwenden die charakteristische Malware der Gruppe, das Malware-Framework „yty“.  Sein Hauptzweck darin besteht, Daten zu sammeln und zu exfiltrieren. Laut unserer Telemetrie konzentriert sich das Donot-Team auf eine kleine Anzahl von Zielen in Südasien – Bangladesch, Sri Lanka, Pakistan und Nepal – wie in Abbildung 1 zu sehen ist.

Abbildung 1. Angegriffene Länder in den neuesten Kampagnen des Donot-Teams

Diese Angriffe konzentrieren sich auf:

• Regierungs- und Militärorganisationen
• Außenministerien
• Botschaften

Auch Angriffe gegen Botschaften dieser Länder in anderen Weltregionen wie dem Nahen Osten, Europa, Nordamerika und Lateinamerika gehört zu den Möglichkeiten von Donot Team.

Immer neue Versuche

Es ist keine Seltenheit, dass APT Gruppen versuchen, den Zugriff auf ein kompromittiertes Netzwerk wiederzuerlangen, nachdem sie daraus ausgeschlossen wurden. In einigen Fällen wird dies durch den Einsatz einer unauffälligen Backdoor erreicht, die sich so lange still verhält, bis die Angreifer sie brauchen. In anderen Fällen setzen sie ihre Aktivitäten einfach mit neuer Malware oder einer Variante der zuvor verwendete Schadsoftware fort. Letzteres ist bei Donot Team der Fall, nur dass sie bei ihren Versuchen bemerkenswert hartnäckig sind.

Laut der ESET-Telemetrie hat Donot Team regelmäßig, alle zwei bis vier Monate, dieselben Organisationen mit Spearphishing-E-Mails mit bösartigen Anhängen angegriffen. Interessanterweise zeigten die E-Mails, die wir abrufen und analysieren konnten, keine Anzeichen von Spoofing. Einige E-Mails wurden von denselben Organisationen gesendet, die angegriffen wurden. Es ist möglich, dass die Angreifer in früheren Kampagnen die E-Mail-Konten einiger ihrer Opfer oder den von diesen Organisationen verwendeten E-Mail-Server kompromittiert haben.

In ihren Spearphishing-E-Mails verwenden die Angreifer bösartige Microsoft Office-Dokumente, um ihre Malware zu verbreiten. Wir haben dabei mindestens drei Techniken beobachtet, die Donot Team einsetzt. Eine davon sind Makros in Word-, Excel- und PowerPoint-Dokumenten, wie im Code-Beispiel in Abbildung 2 zu sehen ist.

Abbildung 2. Bösartiges Makro in einem PowerPoint-Dokument, das eine ausführbare Downloader-Datei ablegt und eine geplante Aufgabe zu ihrer Ausführung erstellt

Die zweite Technik sind RTF-Dateien mit .doc-Erweiterungen, die eine in CVE-2017-11882 beschriebene Speicherkorruptionsanfälligkeit im Formeleditor ausnutzen (siehe Abbildung 3). Diese RTF-Dokumente enthalten auch zwei eingebettete DLLs als OLE-Objekte (siehe Abbildung 4), die zur Installation verwendet werden und weitere Komponenten herunterladen (beide DLLs sind im Abschnitt Gedit beschrieben). Dies ermöglicht den Angreifern Shellcode auszuführen und erfordert keine Benutzerinteraktion. Der Shellcode stellt die Hauptkomponenten der Malware bereit.

Abbildung 3. CLSID des COM-Objekts, das vom RTF-Dokument zum Laden des Formeleditors verwendet wird; das folgende OLE-Objekt enthält den Exploit CVE-2017-1182

Abbildung 4. Die OLE-Objekt-Header der DLLs, die ebenfalls in das RTF-Dokument eingebettet sind

Die dritte Technik ist die RTF-Vorlageninjektion, die es den Angreifern ermöglicht, eine Payload von einem Remote-Server herunterzuladen, wenn das RTF-Dokument geöffnet wird. Dies wird dadurch erreicht, dass anstelle des Speicherorts einer lokalen Dateiressource eine URL in das optionale \*\template Kontrollwort des RTF-Dateiformats eingefügt wird. Die Payload, die Donot Team verwendet, ist ein weiteres Dokument, das CVE-2017-11882 ausnutzt und nach dem Herunterladen automatisch geladen wird. Dies ist in Abbildung 5 dargestellt.

Abbildung 5. Wenn Word eine RTF-Datei mit einer Remote-Vorlage öffnet, versucht es automatisch, die Ressource herunterzuladen

Das Malware-Framework yty

Das Malware-Framework yty wurde 2018 von NetScout entdeckt und ist ein weniger ausgefeilter und schlecht entwickelter Nachfolger eines älteren Frameworks namens EHDevel. Das yty-Framework besteht aus einer Kette von Downloadern, die letztendlich eine Backdoor mit minimaler Funktionalität herunterladen, welche zum Herunterladen und Ausführen weiterer Komponenten des Toolsets von Donot Team verwendet wird.

Dazu gehören Dateikollektoren auf Basis der Dateierweiterung und des Erstellungsjahrs, Screen Capturer, Keylogger, Reverse Shells und mehr. Wie in Abbildung 6 zu sehen, sammeln Exfiltrations-komponenten die gesammelten Informationen aus Sammelordnern ein und laden jede Datei auf einen bestimmten Server hoch, der nur für diesen Zweck verwendet wird.

Abbildung 6. Komponente, die den Namen des Sammelordners für JPEG-Screenshots auflöst (links) und die Exfiltrationskomponente, die alle Dateien im Staging-Ordner findet (rechts)

Die Namen und Speicherorte der Sammelordner werden mit fast jeder neuen Kampagne geändert, ebenso wie einige der Dateinamen der Komponenten. Es gibt jedoch Fälle, in denen die Namen von Komponenten unverändert geblieben sind, zum Beispiel: gedit.exe, wuaupdt.exe, lmpss.exe, disc.exe und andere. Wie in Abbildung 7 zu sehen ist, müssen diese Werte anscheinend für jede neue Kampagne im Quellcode geändert und dann neu kompiliert werden, um neue Pfade und Dateinamen festzulegen, da keine dieser Komponenten einen Konfigurationsblock oder eine Konfigurationsdatei verwendet.

Abbildung 7. Verschlüsselte Zeichenfolgen die Speicherorte und Dateinamen enthalten, die regelmäßig geändert werden (oben) und unverschlüsselte Werte, die beim Erstellen der C&C-URL verwendet werden (unten)

Die Malware verwendet geplante Aufgaben, um Persistenz auf den Systemen zu erzielen und wechselt zwischen Kampagnen zwischen DLL- und EXE-Dateien. Im Fall von DLLs führen geplante Tasks rundll32.exe aus, um sie zu laden und eine der exportierten Funktionen auszuführen.

Die Entwickler des yty-Frameworks setzen in erster Linie auf die Programmiersprache C++. Wahrscheinlich um der Entdeckung zu entgehen, haben sie ihre Komponenten unter anderem auch auf andere Sprachen wie VBScript, Python (im Paket mit PyInstaller), Visual C# und AutoIt portiert. Seit 2019 haben wir jedoch nur gesehen, dass sie Komponenten nutzen, die in C++ (Abbildung 8) und Go (Abbildung 9) programmiert sind.

Abbildung 8. Dekompilierter Code der Screenshot-Komponente, ursprünglich in C++ geschrieben

Abbildung 9. Dekompilierter Code der in Go geschriebenen Version der Screenshot-Komponente

Während ihrer Bereitstellung verwendet die Malware manchmal zwei oder drei Server. Sie kann einen Server in ihrer Kette von Downloadern verwenden und einen anderen Server, den die Hintertür kontaktiert, um ihre Befehle zu erhalten und weitere Komponenten herunterzuladen. Manchmal wird jedoch derselbe Server für beide Zwecke verwendet. Für das Hochladen der gesammelten Informationen wird immer ein anderer Server verwendet. Bei einigen Angriffen hat Donot Team C&C-Domains aus früheren Angriffen wiederverwendet – sowohl für die Downloads als auch für die Exfiltration. Wie in Abbildung 10, Abbildung 11 und Abbildung 12 zu sehen ist, verwendeten diese Komponenten, die alle bei demselben Angriff verwendet wurden, drei verschiedene C&C-Domänen. Die Variante wird von uns weiter unten als DarkMusical beschrieben.

Abbildung 10. Der erste Downloader entschlüsselt die URL des Servers, von dem er die nächste Stufe der Kette herunterlädt

Abbildung 11. In späteren Stadien verwendet die Hintertür einen anderen Server für die C&C-Kommunikation

Abbildung 12. Die Exfiltrationskomponenten verwenden noch einen dritten Server, um die gesammelten Dateien hochzuladen

Zeitleiste der Angriffe

Hier beschreiben wir die Malware-Varianten, die in den letzten Kampagnen des Donot-Teams verwendet wurden, im Zeitraum von September 2020 bis Oktober 2021 und mit Schwerpunkt auf ihre Windows-Malware. Der Übersichtlichkeit halber haben wir sie in zwei Varianten des yty-Malware-Frameworks unterteilt: Gedit und DarkMusical. Eine spezifische Kampagne mit Gedit haben wir Henos genannt.

Abbildung 13 zeigt eine Zeitachse der Angriffe auf Basis unserer Telemetrie. Außerdem haben wir in unsere Chronik Angriffe einer anderen Variante aufgenommen, die als „Jaca-Framework“ bekannt ist. Wir werden es hier jedoch nicht beschreiben, da es in diesem Bericht von CN-SEC ausführlich beschrieben wurde.

Abbildung 13. Zeitachse der Donot-Team-Angriffe von September 2020 bis Oktober 2021 laut ESET-Telemetrie

DarkMusical

Laut der ESET-Telemetrie ereignete sich die erste Angriffswelle, bei der diese Variante eingesetzt wurde, im Juni 2021 und richtete sich gegen militärische Organisationen in Bangladesch. Wir konnten nur seine Downloader-Kette und seine Haupt-Backdoor wiederherstellen. Angesichts der geringen Anzahl von Opfern glauben wir, dass es sich um einen sehr gezielten Angriff gehandelt haben könnte.

Im September wurden bei einer zweiten Angriffswelle gegen Militärorganisationen in Nepal neue C&C-Server sowie Datei- und Staging-Ordnernamen verwendet. Wir konnten eine Reihe von Komponenten wiederherstellen, die von der Hintertür heruntergeladen wurden, daher haben wir uns dazu entschieden, hier stattdessen diese Angriffe zu beschreiben.

Spearphishing-E-Mails wurden mit PowerPoint-Dokumenten gesendet, die ein Makro enthielten, das die erste Komponente einer Download-Kette bereitstellt und mithilfe einer geplanten Aufgabe Persistenz erlangt. Wenn potenzielle Opfer diese Dokumente öffnen, wird ihnen eine gefälschte Fehlermeldung angezeigt, wie in Abbildung 14 gezeigt, und die Dokumente bleiben ohne sichtbaren Inhalt.

Abbildung 14. Screenshot eines leeren, bösartigen PowerPoint-Dokuments

Wie in Abbildung 15 gezeigt, zielt die Download Kette darauf ab, eine letzte Komponente herunterzuladen, die als Hintertür mit minimaler Funktionalität fungiert: Sie lädt eigenständige Komponenten herunter, führt sie mit der ShellExecute -Windows-API aus, ruft neue C&C-URLs ab und speichert sie.

Die Hintertür lädt die Komponenten herunter, die das Sammeln und Exfiltrieren von Informationen auf einen dedizierten Server handhaben. Diese Komponenten kommunizieren nicht mit der Hintertür oder dem C&C, um über ihre Aktivitäten zu berichten – sie verwenden stattdessen einen bestimmten Ordner für die Bereitstellung der Daten, und eine separate Exfiltrationskomponente sammelt alles und lädt es hoch.

Abbildung 15. Beobachtete Kompromittierungskette für DarkMusical

Wir haben uns dazu entschieden, diese Kampagne DarkMusical zu nennen, aufgrund der Namen, die die Angreifer ihren Dateien und Ordnern gegeben haben: Viele davon sind westliche Prominente oder Charaktere aus dem Film High School Musical. Tabelle 1 beschreibt kurz den Zweck jeder der Komponenten in der Kompromittierungskette.

Tabelle 1. Komponenten in der Kompromittierungskette der DarkMusical-Kampagne

In Tabelle 2 beschreiben wir den Zweck jeder Komponente des Toolsets des Angreifers.

Tabelle 2. Beschreibung der Komponenten im Toolset des Angreifers für DarkMusical

Gedit

Die ersten Angriffe mit Gedit konnten wir im September 2020 auf Organisationen in Pakistan beobachten. Diese waren vorher bereits Ziel von Spearphishing und böswilligen RTF-Dokumenten, die das Jaca-Framework installiert hatten. Seitdem konzentriert sich das Donot Team auf Ziele in Bangladesch, Nepal und Sri Lanka. Die Malware ist eindeutig vom yty-Malware-Framework abgeleitet, aber sie unterscheidet sich deutlich genug, um von DarkMusical getrennt betrachtet zu werden.

Wir konnten eine Spearphishing-E-Mail finden, die einer Gedit-Kampagne vom Februar 2021 entsprach, die in Abbildung 16 dargestellt ist. Der erste Anhang enthielt eine Liste von Mitarbeitern einer Militäreinheit in Bangladesch (und keinen bösartigen Inhalt). Der zweite Anhang zeigte nichts als eine leere Seite, während bösartiger Code ausgeführt wurde.

Abbildung 16. Screenshot einer von den Angreifern gesendeten Spearphishing-E-Mail

Wie man sieht, ist die Größe der zweiten Datei größer als 2 MB. Es handelt sich um eine RTF-Datei, die CVE-2017-11882 ausnutzt, um zwei im Dokument enthaltene DLL-Dateien auf dem System zu platzieren und eine davon auszuführen. Andere Komponenten werden in verschiedenen Phasen auf den kompromittierten Computer heruntergeladen. Eine Übersicht über diese Angriffskette und ihre Malware-Komponenten ist in Abbildung 17 dargestellt.

Abbildung 17. Kompromittierungskette in Gedit-Kampagnen

Die Komponenten wurden in Go und C++ (mit MinGW- und Visual Studio-Compilern) codiert. Wir haben uns entschieden, die in dieser Kampagne im Februar 2021 verwendeten Komponenten zu beschreiben, sie sind in Tabelle 3 aufgeführt.

Tabelle 3. Beschreibung der Komponenten für die Gedit-Variante

Henos-Kampagne

Schließlich ist eine Angriffswelle zu erwähnen, die zwischen Februar und März 2021 stattfand und auf militärische Organisationen in Bangladesch und Sri Lanka abzielte. Bei diesen Angriffen wurde die Gedit-Variante der Malware verwendet, jedoch mit einigen geringfügigen Modifikationen. Wir nennen die Kampagne in unserer Zeitleiste Henos, da der Name ihrer Backdoor-DLL henos.dll lautet.

Im Februar wurden auch Code-Proben von Komponenten dieser Angriffswelle online gemeldet. Das erklärt wahrscheinlich, warum die Gruppe die Komponenten nicht erneut verwendet hat (siehe auch den Tweet von Forschern der Shadow Chaser Group).

Obwohl wir die entsprechenden Spearphishing-E-Mails oder schädlichen Dokumente nicht auffinden konnten, ist die Angriffskette vermutlich die gleiche wie oben beschrieben, mit einigen geringfügigen Unterschieden in der Ausführung der Komponenten. Eine Übersicht hierzu ist in Abbildung 18 dargestellt.

Abbildung 18. Kompromisskette der Henos-Kampagne

Während einige der Komponenten dieser Kampagne javatemp.exe und pytemp.exe heißen, wurden diese Dateinamen wahrscheinlich nur in dem Versuch gewählt, legitime Software wie Java oder Python nachzuahmen. Während pytemp.exe und plaapas.exe in der Go-Sprache codiert wurden, wurde javatemp.exe in C++ (kompiliert mit MinGW) codiert.

Eine letzte Anmerkung ist, dass die Komponente, die die Exfiltration von Dateien durchführt, pytemp.exe, eine Überprüfung durchführt, um festzustellen, ob gedit.exe ausgeführt wird. Wenn zwei oder mehr Instanzen gefunden werden, wird es beendet. Wir glauben, dass dies ein Fehler der Programmierer ist, da stattdessen nach pytemp.exe gesucht werden sollte. Dieser einfache Fehler hilft uns jedoch, die Henos-Kampagne mit der Gedit-Variante der Malware in Verbindung zu bringen (hinzugefügt zur Codeähnlichkeit).

Fazit

Donot Team gleicht seine geringe Raffinesse durch Hartnäckigkeit aus. Wir gehen davon aus, dass die APT-Gruppe ihre Angriffe, ungeachtet ihrer vielen Rückschläge, weiter vorantreiben wird. Nur die Zeit wird zeigen, ob die Gruppe ihre aktuellen TTPs und Malware weiterentwickelt.

Bei Fragen oder zur Einreichung von Code-Beispielen zu diesem Thema wenden Sie sich bitte unter threatintel@eset.com an uns.

Indicators of Compromise (IoCs)

A comprehensive list of Indicators of Compromise (IoCs) and samples can be found in our GitHub repository.

Gedit – October 2021

Samples

Network

Download servers

• https://request.soundedge[.]live/access/nasrzolofuju
• https://request.soundedge[.]live/access/birkalirajliruajirjiairuai
• https://share.printerjobs[.]xyz/id45sdjscj/<VICTIM_ID>

Exfiltration server

• https://submin.seasonsbackup[.]xyz/backup/<VICTIM_ID>

Reverse shell server

• 80.255.3[.]67

Gedit – July 2021

Samples

Network

Download server

• request.submitonline[.]club/orderme/

Exfiltration servers

• oceansurvey[.]club/upload/<VICTIM_ID>
• request.soundedge[.]live/<COMPUTERNAME>/uload

Reverse shell servers

• 80.255.3[.]67
• 37.48.122[.]145

Gedit – February/March 2021

Samples

Network

Download servers

• firm.tplinkupdates[.]space/8ujdfuyer8d8f7d98jreerje
• firm.tplinkupdates[.]space/yu37hfgde64jskeruqbrgx
• space.lovingallupdates[.]life/orderme

Exfiltration server

• oceansurvey.club/upload/<VICTIM_ID>

Reverse shell server

• 80.255.3[.]67

Gedit – September 2020

Samples

Network

Download servers

• soundvista[.]club/sessionrequest
• soundvista[.]club/orderme/<VICTIM_ID>
• soundvista[.]club/winuser

Exfiltration server

• request.resolverequest[.]live/upload/<COMPUTERNAME>-<Random_Number>

Reverse shell server

• 80.255.3[.]67

DarkMusical – September 2021

Samples

Network

Download servers

• digitalresolve[.]live/<COMPUTERNAME>~<USERNAME>~<HW_PROFILE_GUID>/ekcvilsrkjiasfjkikiakik
• digitalresolve[.]live/<COMPUTERNAME>~<USERNAME>~<HW_PROFILE_GUID>/ziuriucjiekuiemoaeukjudjkgfkkj
• digitalresolve[.]live/<COMPUTERNAME>~<USERNAME>~<HW_PROFILE_GUID>/Sqieilcioelikalik
• printersolutions[.]live/<COMPUTERNAME>~<USERNAME>~<HW_PROFILE_GUID>/orderme

Exfiltration server

• packetbite[.]live/<COMPUTERNAME>~<USERNAME>~<HW_PROFILE_GUID>/uload

Reverse shell servers

• 37.120.198[.]208
• 51.38.85[.]227

DarkMusical – June 2021

Samples

Network

Download servers

• biteupdates[.]live/<COMPUTERNAME>~<USERNAME>~<VICTIM_ID>/orderme
• biteupdates[.]live/<COMPUTERNAME>~<USERNAME>~<VICTIM_ID>/KdkdUe7KmmGFD
• biteupdates[.]live/<COMPUTERNAME>~<USERNAME>~<VICTIM_ID>/acdfsgbvdghd
• dataupdates[.]live/<COMPUTERNAME>~<USERNAME>~<VICTIM_ID>/DKixeXs44skdqqD
• dataupdates[.]live/<COMPUTERNAME>~<USERNAME>~<VICTIM_ID>/BcX21DKixeXs44skdqqD

Henos – February/March 2021

Samples

Network

Download servers

• info.printerupdates[.]online/<USERNAME>/Xddv21SDsxDl
• info.printerupdates[.]online/<COMPUTERNAME>~<USERNAME>/XddvInXdl
• info.printerupdates[.]online/<COMPUTERNAME>~<USERNAME>/ZuDDey1eDXUl
• info.printerupdates[.]online/<COMPUTERNAME>~<USERNAME>/Vyuib45xzlqn

Exfiltration server

• https://manage.biteupdates[.]site/<PC_NAME>/uload

MITRE ATT&CK techniques

This table was built using version 10 of the ATT&CK framework.