Donot Team: análisis de sus recientes ataques a organismos gubernamentales y militares en Asia

Investigadores de ESET analizan en profundidad los recientes ataques llevados a cabo por Donot Team a lo largo de 2020 y 2021, dirigidos a entidades gubernamentales y militares en varios países del sur de Asia.

Investigadores de ESET analizan en profundidad los recientes ataques llevados a cabo por Donot Team a lo largo de 2020 y 2021, dirigidos a entidades gubernamentales y militares en varios países del sur de Asia.

Donot Team (también conocido como APT-C-35 y SectorE02) es un actor de amenazas que opera desde al menos 2016 y es conocido por atacar con malware para Windows y Android a organizaciones e individuos en el sur de Asia. Un informe reciente de Amnistía Internacional vincula el malware utilizado por el grupo con una empresa de ciberseguridad de la India que puede estar vendiendo spyware u ofreciendo un servicio de hackers a sueldo a los gobiernos de la región.

Hemos estado siguiendo de cerca las actividades de Donot Team y hemos rastreado varias campañas que utilizan el malware para Windows derivado del framework de malware yty característico del grupo. De acuerdo con nuestros hallazgos, el grupo es muy persistente y ha estado atacando consistentemente las mismas organizaciones al menos durante los últimos dos años.

En esta publicación, documentamos dos variantes de malware utilizadas en campañas recientes: DarkMusical y Gedit. Para cada una de las variantes, analizamos toda la cadena de ataque y brindamos información sobre cómo el grupo actualiza sus herramientas, tácticas y técnicas.

Blancos de ataque

Las campañas de Donot Team están motivadas por el espionaje, utilizando su malware insignia: el framework de malware “yty”, cuyo objetivo principal es recopilar y exfiltrar datos. Según nuestra telemetría, Donot Team se enfoca en una pequeña cantidad de objetivos en el sur de Asia: Bangladesh, Sri Lanka, Pakistán y Nepal, como se observa en la Figura 1.

Figura 1. Países apuntados por Danot Team en campañas recientes

Estos ataques se centraron en:

  • Organizaciones gubernamentales y militares
  • Ministerios de Relaciones Exteriores
  • Embajadas

Donot Team también apunta a las embajadas de estos países en otras regiones, como en Medio Oriente, Europa, América del Norte y América Latina.

Intentar, intentar y volver a intentar

No es raro que los operadores de una APT intenten recuperar el acceso a una red comprometida después de haber sido expulsados ​​de ella. En algunos casos, esto se logra mediante la distribución de un backdoor más sigiloso que permanece en silencio hasta que los atacantes necesitan sus servicios; en otros casos, simplemente reinician su funcionamiento con un nuevo malware o una variante del malware que usaban anteriormente. Este último es el caso de los operadores de Donot Team, solo que son notablemente persistentes en sus intentos.

De acuerdo con la telemetría de ESET, Donot Team se ha dirigido constantemente a las mismas entidades con oleadas de correos electrónicos de spearphishing que contienen archivos adjuntos maliciosos cada dos o cuatro meses. Curiosamente, los correos electrónicos que pudimos recuperar y analizar no mostraban signos de suplantación de identidad. Algunos correos electrónicos fueron enviados desde las mismas organizaciones que estaban siendo atacadas. Es posible que los atacantes hayan comprometido las cuentas de correo electrónico de algunas de sus víctimas en campañas anteriores, o el servidor de correo electrónico utilizado por esas organizaciones.

En los correos electrónicos de spearphishing los atacantes usan documentos maliciosos de Microsoft Office para distribuir su malware. Hemos observado a Donot Team usando al menos tres técnicas. Una de ellas es el uso de macros en documentos de Word, Excel y PowerPoint, como se observa en el ejemplo de la Figura 2.

Figura 2. Macro maliciosa en un documento de PowerPoint que droppea un downloader ejecutable y crea una tarea programada para ejecutarlo

La segunda técnica son los archivos RTF con extensiones .doc que explotan la vulnerabilidad de corrupción de memoria CVE-2017-11882 en Equation Editor, que se muestra en la Figura 3. Estos documentos RTF también contienen dos DLL embebidas como objetos OLE (consulte la Figura 4) que se utilizan para instalar y descargar más componentes (ambas DLL se describen en la sección Gedit). Esto permite a los atacantes ejecutar shellcode y no requiere interacción por parte del usuario. El shellcode despliega los componentes principales del malware.

Figura 3. CLSID del objeto COM utilizado por el documento RTF para cargar el Equation Editor; el objeto OLE resultante contiene el exploit para la CVE-2017-1182

Figura 4. Los headers del objeto OLE de las DLL también embebidos en el documento RTF

La tercera técnica es la inyección remota de plantillas RTF, la cual permite a los atacantes descargar un payload desde un servidor remoto cuando el documento RTF es abierto. Esto se logra insertando una URL en la palabra de control opcional \*\template del formato de archivo RTF, en lugar de la ubicación de un recurso de archivo local. El payload que usa Donot Team es otro documento que explota la CVE-2017-11882 y que se carga automáticamente una vez que se descarga. Esto se observa en la Figura 5.

Figura 5. Cuando Word abre un archivo RTF con una plantilla remota, automáticamente intenta descargar el recurso

El framework de malware de yty

Descubierto por NetScout en 2018, el framework de malware yty es un sucesor menos sofisticado y más pobremente desarrollado de un framework anterior llamado EHDevel. El framework yty consta de una cadena de downloaders que, en última instancia, descargan un backdoor con una funcionalidad mínima y que se utiliza para descargar y ejecutar otros componentes del conjunto de herramientas de Donot Team.

Estos incluyen recopiladores de archivos basados ​​en la extensión del archivo y el año de creación, capturadores de pantalla, keyloggers, shells inversas y más. Como se observa en la Figura 6, los componentes para la exfiltración reúnen la inteligencia recopilada de las carpetas contenedoras y cargan cada archivo en un servidor designado que se usa solo para este propósito.

Figura 6. Compoente que recupera el nombre de la carpeta que contiene las capturas de pantalla en JPEG (izquierda) y componente de exfiltración que encuentra todos los archivos en la carpeta contenedora (derecha)

Los nombres y las ubicaciones de las carpetas contenedoras se cambian en casi todas las campañas nuevas, así como algunos de los nombres de archivo de los componentes. Sin embargo, hay casos en los que los nombres de los componentes se han mantenido sin cambios, por ejemplo: gedit.exe, wuaupdt.exe, lmpss.exe, disc.exe, entre otros. Como se aprecia en la Figura 7, al parecer, para cada nueva campaña, para establecer nuevas rutas y nombres de archivo estos valores deben cambiarse en el código fuente y luego volver a compilarse, ya que ninguno de estos componentes usa un bloque o archivo de configuración.

Figura 7. Strings cifradas que contienen ubicaciones y nombres de archivo que son modificadas regularmente (arriba) y valores no cifrados usados ​​en la construcción de la URL del C&C (abajo)

El malware utiliza tareas programadas para establecer persistencia y entre campañas alterna entre archivos DLL y EXE. En el caso de las DLL, las tareas programadas ejecutan rundll32.exe para cargarlas y ejecutar una de las funciones exportadas.

Los desarrolladores del framework yty se basan principalmente en el lenguaje de programación C++. Probablemente en un intento por evadir la detección, también han pasado sus componentes a otros lenguajes como VBScript, Python (empaquetado con PyInstaller), Visual C# y AutoIt, entre otros. Sin embargo, desde 2019 solo los hemos visto utilizando componentes programados en C++ (Figura 8) y Go (Figura 9).

Figura 8. Código descompilado del componente para realizar capturas de pantalla, escrito originalmente en C++

Figura 9. Código descompilado del componente para realizar capturas de pantalla, para la versión escrita en Go

En algunas ocasiones el malware usa dos o tres servidores durante su implementación. Puede usar un servidor durante su cadena de downloaders y un servidor diferente con el que se contacta el backdoor para recibir sus comandos y descargar más componentes, o usar el mismo servidor para ambos propósitos. Siempre se utiliza un servidor diferente para cargar la información recopilada. En algunos ataques, Donot Team ha reutilizado dominios C&C de ataques anteriores, tanto para realizar descargas como para la exfiltración. Como se observa en las Figuras 10, 11 y 12, estos componentes —que luego se describen como una variante que rastreamos como DarkMusical— utilizados en el mismo ataque, emplearon tres dominios C&C diferentes.

Figura 10. El primer downloader descifra la URL del servidor desde el que descarga la siguiente etapa de la cadena

Figura 11. En etapas posteriores, el backdoor utiliza un servidor diferente para las comunicaciones con el C&C

Figura 12. Los componentes de exfiltración utilizan un tercer servidor para cargar los archivos recopilados

Cronología de los ataques

En esta sección describimos las variantes de malware utilizadas en campañas recientes de Donot Team, con especial atención en su malware para Windows, desde septiembre de 2020 hasta octubre de 2021. Para mayor claridad, las hemos separado en dos variantes del framework de malware yty: Gedit y DarkMusical, con una campaña específica usando Gedit que llamamos Henos.

En la Figura 13, presentamos los ataques en una línea de tiempo, según los datos de nuestra telemetría. También en nuestra línea de tiempo hemos incluido ataques de otra variante, conocida como el “framework Jaca”. Sin embargo, no lo describiremos aquí ya que ha sido descrito extensamente en este informe de CN-SEC.

Figura 13. Cronología de los ataques de Donot Team desde septiembre de 2020 hasta octubre de 2021, según la telemetría de ESET

DarkMusical

Según la telemetría de ESET, la primera ola de ataques en los que se utilizó esta variante ocurrió en junio de 2021 y fue contra organizaciones militares en Bangladesh. Solo pudimos recuperar su cadena de downloaders y su backdoor principal. Dada la pequeña cantidad de víctimas, creemos que este podría haber sido un ataque altamente dirigido.

En septiembre, una segunda ola de ataques dirigidos a organizaciones militares en Nepal utilizó nuevos servidores de C&C y nombres de archivos y carpetas contenedoras. Pudimos recuperar una cantidad de componentes descargados por el backdoor, por lo que decidimos describir estos ataques en su lugar.

Los correos electrónicos de phishing incluían documentos de PowerPoint que contenían una macro que despliega el primer componente de una cadena de downloaders y persiste usando una tarea programada. Cuando las potenciales víctimas abran estos documentos, se les mostrará un mensaje de error falso, como se ve en la Figura 14, y los documentos permanecerán sin ningún contenido visible.

Figura 14. Captura de pantalla de un documento de PowerPoint malicioso en blanco

Como se ve en la Figura 15, la cadena de downloaders tiene como objetivo descargar un componente final que funciona como un backdoor con una funcionalidad mínima: descarga componentes que funcionan de forma independiente, los ejecuta usando la API ShellExecute de Windows, obtiene y guarda nuevas URL de C&C.

El backdoor descarga los componentes que se encargan de la recopilación y exfiltración de información a un servidor dedicado. Estos componentes no se comunican con el backdoor o el C&C para informar sobre sus actividades, sino que utilizan una carpeta contenedora designada para los datos, y un componente de exfiltración separado recopilará todo y lo cargará.

Figura 15. Cadena de compromiso que observamos para DarkMusical

Decidimos llamar a esta campaña DarkMusical por los nombres que los atacantes eligieron para sus archivos y carpetas: muchos son celebridades de occidente o personajes de la película High School Musical. La Tabla 1 describe brevemente el propósito de cada uno de los componentes de la cadena de compromiso.

Tabla 1. Componentes en la cadena de compromiso de la campaña DarkMusical

FilenameDescription
rihana.exeThis executable is dropped by the malicious document to %public%\Music\rihana.exe and persistence established via a scheduled task called musudt.
 
Downloads file to %public%\Music\acrobat.dll and drops a BAT file to %public%\Music\sidilieicaliei.bat.
 
The BAT file calls schtasks.exe to create the hmomci scheduled task to execute rundll32.exe %public%\Music\acrobat.dll, nikioioeioolla.
acrobat.dllDownloads file and saves it as %public%\Music\swift
 
Additionally, can issue a systeminfo.exe command whose output is redirected to %public%\Music\justin. The contents of the file are sent to its C&C server.
 
Drops and executes the file %public%\Music\janifer.bat that performs several tasks:
 • Creates the folders Troy, Gabriella, and Taylor in %public%\Music with archive, hidden, and system attributes.
 • Creates two scheduled tasks:
  - sccmos to execute %public%\Music\Troy\forbidden.exe
  - msoudatee that executes %public%\Music\Gabriella\remember.exe
 • Moves the swift file into the Gabriella folder and renames it to remember.exe
 • Attempts to delete acrobat.dll and rihana.exe
 • Deletes the scheduled tasks named hmomci and musudt
 • Deletes itself
remember.exeDownloads file to %public%\Music\Troy\forbidden.exe
forbidden.exeUses the URL stored in %public%\Music\Taylor\flag file; if there is no URL, it uses its default URL.
 
Accepts three commands:
 • Set URL in the flag file
 • Execute file with ShellExecute Windows API
 • Download file to %public%\Music\Taylor

En la Tabla 2, describimos el propósito de cada uno de los componentes que conforman el conjunto de herramientas del atacante.

Tabla 2. Descripción de los componentes del conjunto de herramientas del atacante para DarkMusical

FilenameDescription
serviceup.exeReverse shells
sdudate.exe
srcot.exeTakes screenshots, saves them to %public%\Music\Symphony
Three variants of nDExiD.exeCollects files created in 2021 and after, and copies them to the staging folder %public%\Music\Symphony

Collects files by extension: doc, docx, eml, inp, jpeg, jpg, msg, odt, pdf, pps, ppsx, ppt, pptx, rtf, txt, xls, xlsx
Same as above, but files must have been created in 2020 or after.
File collector that monitors insertion of USB drives and changes within the file system. Collects the same documents by extension as above, but also includes files with extensions: docm, mbox, pst
upsvcsu.exeExfiltrates collected files.

Enumerates all files in %public%\Music\Symphony and uploads those that match the extensions: doc, docx, eml, inp, jpeg, jpg, msg, odt, pdf, pps, ppsx, ppt, pptx, rtf, txt, xls, xlsx

Gedit

En septiembre de 2020 detectamos los primeros ataques de la campaña utilizando Gedit contra organizaciones en Pakistán que ya habían sido atacadas mediante spearphishing y documentos RTF maliciosos que instalaron el framework Jaca. Desde entonces, el equipo de Donot pasó a centrarse en objetivos en Bangladesh, Nepal y Sri Lanka. El malware deriva claramente del framework de malware yty, pero es lo suficientemente distinto como para diferenciarse de DarkMusical.

Pudimos recuperar un correo electrónico de spearphishing (ver Figura 16) correspondiente a una campaña de Gedit que ocurrió en febrero de 2021. El primer archivo adjunto contenía una lista de personal de una entidad militar en Bangladesh (y sin contenido malicioso). El segundo archivo adjunto no mostraba más que una página en blanco, mientras ejecutaba un código malicioso.

Figura 16. Captura de pantalla de un correo electrónico de spearphishing enviado por los atacantes

Podemos observar que el tamaño del segundo archivo es mayor a 2 MB. Es un archivo RTF que explota la CVE-2017-11882 para droppear dos archivos DLL contenidos en el documento y ejecutar uno de ellos. Otros componentes se descargan en la computadora comprometida en varias etapas. En la Figura 17 se muestra una descripción general de esta cadena de ataque y sus componentes de malware.

Figura 17. Cadena de compromiso en campañas de Gedit

Los componentes fueron codificados en Go y C++ (con compiladores MinGW y Visual Studio). Hemos optado por describir los componentes utilizados en esa campaña de febrero de 2021.

Tabla 3. Descripción de los componentes de la variante Gedit

FilenameDescription
vbtr.dllMoves the file %TEMP%\bcs01276.tmp to %USERPROFILE%\Documents\msdn022.dll

Creates a scheduled task MobUpdate to execute rundll32.exe %USERPROFILE%\Documents\msdn022.dll,iorpiyhduj
msdn022.dllDownloads a file to %APPDATA%\mscx01102 (later renamed to Winhlp.exe).

Writes and executes %APPDATA%\test.bat, which:
 • Writes <COMPUTERNAME>-<RANDOM_NUMBER> to %USERPROFILE%\Policy\en-us\Files\wizard
 • Creates the scheduled task TaskUpdate to execute %USERPROFILE%\inf\boost\OOO\nprint.exe
 • Creates the scheduled task MachineCore to execute %USERPROFILE%\Cursor\Size\Dates\Winhlp.exe
Winhlp.exeDownloads a file to %USERPROFILE%\inf\boost\OOO\nprint.exe (if it doesn’t exist or its size is less than 50 kB).
nprint.exeSends a request to a server and depending on the reply, three actions can be performed:
 • If qwertyuiop is in the reply headers, then a file is downloaded to %USERPROFILE%\Policy\en-us\Active\<FILENAME>, where <FILENAME> is also read from the headers
 • If asdfghjklzx is in the reply headers, then it tries to execute %USERPROFILE%\Policy\en-us\Active\wuaupdt.exe
 • If zxcvbnmlkjhgfd is in the reply headers, then it tries to execute %USERPROFILE%\Policy\en-us\Active\test.bat
 
If a file %USERPROFILE%\Policy\en-us\Files\wizard exists, then the URL of the server is retrieved from there and used instead of the one included in the executable.
wuaupdt.exeReverse shell.
lmpss.exeTakes screenshots and saves them, in an infinite loop, to %USERPROFILE%\Remote\Desk\Apps
innod.exeFile collector. Iterates recursively through drives, logging interesting files to %USERPROFILE%\Policy\en-us\Files\nohiucf. Files are copied to %USERPROFILE%\Remote\Desk\Apps

Seeks files with the extensions: doc, docx, xls, xlsx, ppt, pps, pptx, ppsx, pdf, inp, msg, jpg, jpeg, png, txt

Excludes the following files/folders: ., .., nohiucf, Windows, Recent Places, Temfile, Program Files, Program Files (x86), ProgramData, Microsoft, Package Cache

This component runs in an infinite loop, iterating drives from C: to H:
gedit.exeSends collected files to a server. All files that are in %USERPROFILE%\Remote\Desk\Apps are sent one by one, unencrypted. There is no check for extension, other than excluding . and ..

The victim identifier that was written to %USERPROFILE%\Policy\en-us\Files\wizard is appended to the URL. If the file doesn’t exist, then the default string HeloBSiamabcferss is used instead. User-agent is: If people are doubting how far you can go, go so far that you can not hear them anymore. Michele Ruiz.

It creates a system event aaaaaaaaa to make sure that only one instance of the component is running at a time.

Campaña Henos

Finalmente, vale la pena mencionar una ola de ataques que se produjo entre febrero y marzo de 2021 contra organizaciones militares en Bangladesh y Sri Lanka. Estos ataques utilizaron la variante Gedit del malware, pero con algunas modificaciones menores. Por lo tanto, en nuestra línea de tiempo decidimos nombrar a esta campaña Henos, a partir de la DLL de su backdoor: henos.dll.

Las muestras pertenecientes a los componentes de esta ola de ataques también fueron reportadas públicamente en febrero, lo que probablemente explica por qué el grupo no volvió a usar los componentes (observe este tweet de los investigadores de Shadow Chaser Group, por ejemplo).

Aunque no encontramos los correos electrónicos de phishing o documentos maliciosos correspondientes, la cadena de ataque es presumiblemente la misma que describimos anteriormente, con algunas diferencias menores en la forma en que se ejecutan los componentes. En la Figura 18 se muestra una descripción general de esto.

Figura 18. Cadena de compromiso de la campaña Henos

Si bien algunos de los componentes de esta campaña se denominan javatemp.exe y pytemp.exe, estos nombres de archivo probablemente solo se eligieron en un intento de hacerse pasar por software legítimo como Java o Python. Mientras que pytemp.exe y plaapas.exe estaban codificados en Go, javatemp.exe estaba codificado en C++ (compilado con MinGW).

Una nota final es que el componente que realiza la exfiltración de archivos, pytemp.exe, realiza una verificación para ver si gedit.exe se está ejecutando. Si se encuentran dos o más instancias, se cierra. Creemos que esto es un error de los programadores, ya que debería buscar pytemp.exe en su lugar. Sin embargo, este simple error nos ayuda a relacionar la campaña de Henos con la variante Gedit del malware (agregado a la similitud del código).

Conclusión

Donot Team compensa su baja sofisticación con tenacidad. Estimamos que continuará avanzando a pesar de sus muchos contratiempos. Solo el tiempo dirá si el grupo evoluciona y realiza modificaciones en el malware y sus TTP.

Por cualquier consulta o para enviar muestras relacionados con el tema, contáctenos en threatintel@eset.com.

Indicadores de Compromiso (IoC)

Una lista detallada de los Indicadores de Compromiso (IoC) y muestras puede encontrarse en nuestro repositorio de GitHub.

Gedit – Octubre 2021

Muestras

SHA-1FilenameESET detection name
78E82F632856F293BDA86D77D02DF97EDBCDE918cdc.dllWin32/TrojanDownloader.Donot.C
D9F439E7D9EE9450CD504D5791FC73DA7C3F7E2Ewbiosr.exeWin32/TrojanDownloader.Donot.D
CF7A56FD0613F63418B9DF3E2D7852FBB687BE3Fvdsc.exeWin32/TrojanDownloader.Donot.E
B2263A6688E512D90629A3A621B2EE003B1B959Ewuaupdt.exeWin32/ReverseShell.J
13B785493145C85B005E96D5029C20ACCFFE50F2gedit.exeWin32/Spy.Donot.A
E2A11F28F9511753698BA5CDBAA70E8141C9DFC3wscs.exeWin32/Spy.Donot.B
F67ABC483EE2114D96A90FA0A39496C42EF050B5gedit.exeWin32/Spy.Donot.B

Red

Servidores de descarga

  • https://request.soundedge[.]live/access/nasrzolofuju
  • https://request.soundedge[.]live/access/birkalirajliruajirjiairuai
  • https://share.printerjobs[.]xyz/id45sdjscj/<VICTIM_ID>

Servidores de exfiltración

  • https://submin.seasonsbackup[.]xyz/backup/<VICTIM_ID>

Servidores para reverse shell

  • 80.255.3[.]67

Gedit – Julio 2021

Muestras 

SHA-1FilenameESET detection name
A71E70BA6F3CD083D20EDBC83C72AA823F31D7BFhxedit.exeWin32/TrojanDownloader.Donot.N
E101FB116F05B7B69BD2CAAFD744149E540EC6E9lmpss.exeWin64/HackTool.Ligolo.A
89D242E75172C79E2F6FC9B10B83377D940AE649gedit.exeWinGo/Spy.Donot.A
B42FEFE2AB961055EA10D445D9BB0906144647CEgedit.exeWinGo/Spy.Donot.A
B0704492382186D40069264C0488B65BA8222F1Edisc.exeWin32/Spy.Donot.L
1A6FBD2735D3E27ECF7B5DD5FB6A21B153FACFDBdisc.exeWin32/Spy.Donot.A
CEC2A3B121A669435847ADACD214BD0BE833E3ADdisc.exeWin32/Spy.Donot.M
CBC4EC0D89FA7A2AD1B1708C5A36D1E304429203disc.exeWin32/Spy.Donot.A
9371F76527CA924163557C00329BF01F8AD9E8B7gedit.exeWin32/Spy.Donot.J
B427744B2781BC344B96907BF7D68719E65E9DCBwuaupdt.exeWin32/TrojanDownloader.Donot.W

Red

Servidores de descarga

  • request.submitonline[.]club/orderme/

Servidores de exfiltración

  • oceansurvey[.]club/upload/<VICTIM_ID>
  • request.soundedge[.]live/<COMPUTERNAME>/uload

Servidores para reverse shell

  • 80.255.3[.]67
  • 37.48.122[.]145

Gedit – Febrero/Marzo 2021

Muestras

SHA-1FilenameESET detection name
A15D011BED98BCE65DB597FFD2D5FDE49D46CFA2BN_Webmail_List 2020.docWin32/Exploit.Agent.UN
6AE606659F8E0E19B69F0CB61EB9A94E66693F35vbtr.dllWin32/Spy.Donot.G
0290ABF0530A2FD2DFB0DE29248BA3CABB58D2ADbcs01276.tmp (msdn022.dll)Win32/TrojanDownloader.Donot.P
66BA21B18B127DAA47CB16AB1F2E9FB7DE3F73E0Winhlp.exeWin32/TrojanDownloader.Donot.J
79A5B10C5214B1A3D7CA62A58574346C03D54C58nprint.exeWin32/TrojanDownloader.Donot.K
B427744B2781BC344B96907BF7D68719E65E9DCBwuaupdt.exeWin32/TrojanDownloader.Donot.W
E423A87B9F2A6DB29B3BA03AE7C4C21E5489E069lmpss.exeWinGo/Spy.Donot.B
F43845843D6E9FB4790BF70F1760843F08D43790innod.exeWin32/Spy.Donot.G
4FA31531108CC68FF1865E2EB5654F7B3DA8D820gedit.exeWin32/Spy.Donot.G

Red

Servidores de descarga

  • firm.tplinkupdates[.]space/8ujdfuyer8d8f7d98jreerje
  • firm.tplinkupdates[.]space/yu37hfgde64jskeruqbrgx
  • space.lovingallupdates[.]life/orderme

Servidores de exfiltración

  • oceansurvey.club/upload/<VICTIM_ID>

Servidores para reverse shell

  • 80.255.3[.]67

Gedit – Septiembre 2020

Muestras

SHA-1FilenameESET detection name
49E58C6DE5245796AEF992D16A0962541F1DAE0Clmpss.exeWin32/Spy.Donot.H
6F38532CCFB33F921A45E67D84D2796461B5A7D4prodot.exeWin32/TrojanDownloader.Donot.K
FCFEE44DA272E6EB3FC2C071947DF1180F1A8AE1prodot.exeWin32/TrojanDownloader.Donot.S
7DDF48AB1CF99990CB61EEAEB3ED06ED8E70A81Bgedit.exeWin32/TrojanDownloader.Donot.AA
DBC8FA70DFED7632EA21B9AACA07CC793712BFF3disc.exeWin32/Spy.Donot.I
CEF05A2DAB41287A495B9413D33F14D94A568C83wuaupdt.exeWin32/Spy.Donot.A
E7375B4F37ECEA77FDA2CEA1498CFB30A76BACC7prodot.exeWin32/TrojanDownloader.Donot.AA
771B4BEA921F509FC37016F5FA22890CA3338A65apic.dllWin32/TrojanDownloader.Donot.A
F74E6C2C0E26997FDB4DD89AA3D8BD5B270637CCnjhy65tg.dllWin32/TrojanDownloader.Donot.O

Red

Servidores de descarga

  • soundvista[.]club/sessionrequest
  • soundvista[.]club/orderme/<VICTIM_ID>
  • soundvista[.]club/winuser

Servidores de exfiltración

  • request.resolverequest[.]live/upload/<COMPUTERNAME>-<Random_Number>

Servidores para reverse shell

  • 80.255.3[.]67

DarkMusical – Septiembre 2021

Muestras

SHA-1FilenameESET detection name
1917316C854AF9DA9EBDBD4ED4CBADF4FDCFA4CErihana.exeWin32/TrojanDownloader.Donot.G
6643ACD5B07444D1B2C049BDE61DD66BEB0BD247acrobat.dllWin32/TrojanDownloader.Donot.F
9185DEFC6F024285092B563EFA69EA410BD6F85Bremember.exeWin32/TrojanDownloader.Donot.H
954CFEC261FEF2225ACEA6D47949D87EFF9BAB14forbidden.exeWin32/TrojanDownloader.Donot.I
7E9A4A13A76CCDEC880618BFF80C397790F3CFF3serviceup.exeWin32/ReverseShell.J
BF183A1EC4D88034D2AC825278FB084B4CB21EADsrcot.exeWin32/Spy.Donot.F
1FAA4A52AA84EDB6082DEA66F89C05E0F8374C4Cupsvcsu.exeWinGo/Spy.Donot.A
2F2EA73B5EAF9F47DCFB7BF454A27A3FBF253A1Esdudate.exeWin32/ReverseShell.J
39F92CBEC05785BF9FF28B7F33906C702F142B90ndexid.exeWin32/Spy.Donot.C
1352A8394CCCE7491072AAAC9D19ED584E607757ndexid.exeWin32/Spy.Donot.E
623767BC142814AB28F8EC6590DC031E7965B9CDndexid.exeWin32/Spy.Donot.A

Red

Servidores de descarga

  • digitalresolve[.]live/<COMPUTERNAME>~<USERNAME>~<HW_PROFILE_GUID>/ekcvilsrkjiasfjkikiakik
  • digitalresolve[.]live/<COMPUTERNAME>~<USERNAME>~<HW_PROFILE_GUID>/ziuriucjiekuiemoaeukjudjkgfkkj
  • digitalresolve[.]live/<COMPUTERNAME>~<USERNAME>~<HW_PROFILE_GUID>/Sqieilcioelikalik
  • printersolutions[.]live/<COMPUTERNAME>~<USERNAME>~<HW_PROFILE_GUID>/orderme

Servidores de exfiltración

  • packetbite[.]live/<COMPUTERNAME>~<USERNAME>~<HW_PROFILE_GUID>/uload

Servidores para reverse shell

  • 37.120.198[.]208
  • 51.38.85[.]227

DarkMusical – Junio 2021

Muestras

SHA-1FilenameESET detection name
BB0C857908AFC878CAEEC3A0DA2CBB0A4FD4EF04

6194E0ECA5D494980DF5B9AB5CEA8379665ED46A
ertficial.dllWin32/TrojanDownloader.Donot.X
ACB4DF8708D21A6E269D5E7EE5AFB5168D7E4C70msofficedll.dllWin32/TrojanDownloader.Donot.L
B38F3515E9B5C8F4FB78AD17C42012E379B9E99Asccmo.exeWin32/TrojanDownloader.Donot.M
60B2ADE3B339DE4ECA9EC3AC1A04BDEFC127B358pscmo.exeWin32/TrojanDownloader.Donot.I

Red

Servidores de descarga

  • biteupdates[.]live/<COMPUTERNAME>~<USERNAME>~<VICTIM_ID>/orderme
  • biteupdates[.]live/<COMPUTERNAME>~<USERNAME>~<VICTIM_ID>/KdkdUe7KmmGFD
  • biteupdates[.]live/<COMPUTERNAME>~<USERNAME>~<VICTIM_ID>/acdfsgbvdghd
  • dataupdates[.]live/<COMPUTERNAME>~<USERNAME>~<VICTIM_ID>/DKixeXs44skdqqD
  • dataupdates[.]live/<COMPUTERNAME>~<USERNAME>~<VICTIM_ID>/BcX21DKixeXs44skdqqD

Henos – Febrero/Marzo 2021

Muestras

SHA-1FilenameESET detection name
468A04B358B780C9CC3174E107A8D898DDE4B6DEProcurement Letter Feb 21.docWin32/Exploit.CVE-2017-11882.CP
9DD042FC83119A02AAB881EDB62C5EA3947BE63Ectlm.dllWin32/Spy.Donot.N
25825268868366A31FA73095B0C5D0B696CD45A2stpnaqs.pmt (jptvbh.exe)Win32/TrojanDownloader.Donot.Z
540E7338725CBAA2F33966D5C1AE2C34552D4988henos.dllWin32/Spy.Donot.G
526E5C25140F7A70BA9F643ADA55AE24939D10AEplaapas.exeWinGo/Spy.Donot.B
89ED760D544CEFC6082A3649E8079EC87425FE66javatemp.exeWin32/Spy.Donot.G
9CA5512906D43EB9E5D6319E3C3617182BBF5907pytemp.exeWinGo/Spy.Donot.A

Red

Servidores de descarga

  • info.printerupdates[.]online/<USERNAME>/Xddv21SDsxDl
  • info.printerupdates[.]online/<COMPUTERNAME>~<USERNAME>/XddvInXdl
  • info.printerupdates[.]online/<COMPUTERNAME>~<USERNAME>/ZuDDey1eDXUl
  • info.printerupdates[.]online/<COMPUTERNAME>~<USERNAME>/Vyuib45xzlqn

Servidores de exfiltración

  • https://manage.biteupdates[.]site/<PC_NAME>/uload

Técnicas de MITRE ATT&CK

Esta tabla fue creada utilizando la versión 10 del framework de ATT&CK.

TacticIDNameDescription
Resource DevelopmentT1588.005Obtain Capabilities: ExploitsDonot Team has used CVE‑2017-11882 exploits to run its first-stage malware.
Initial AccessT1566.001Phishing: Spearphishing AttachmentDonot Team has sent spearphishing emails to its victims with malicious Word or PowerPoint attachments.
ExecutionT1204.002User Execution: Malicious FileDonot Team has lured its victims into opening malicious email attachments.
T1059.005Command and Scripting Interpreter: Visual BasicDonot Team has used macros contained in Power Point documents.
T1059.003Command and Scripting Interpreter: Windows Command ShellDonot Team has used reverse shells on the system to execute commands.
T1203Exploitation for Client ExecutionDonot Team has used CVE-2017-11882 exploits to execute code on the victim’s machine.
PersistenceT1053.005Scheduled Task/Job: Scheduled TaskDonot Team has created scheduled tasks for persistence of its malicious components.
Defense EvasionT1036.005Masquerading: Match Legitimate Name or LocationDonot Team has used filenames such as pytemp or javatemp to approximate the name of legitimate software.
DiscoveryT1057Process DiscoveryDonot Team has implemented checks for older versions of the malware running on the victim’s system.
Lateral MovementT1534Internal SpearphishingDonot Team has sent spearphishing emails to their victims that came from within the same targeted organization.
CollectionT1005Data from Local SystemDonot Team has used malicious modules that traverse the victim’s filesystem looking for files with various extensions.
T1025Data from Removable MediaDonot Team has used a malicious module to copy files from removable drives.
T1074.001Data Staged: Local Data StagingDonot Team has staged files for exfiltration in a single location, a folder in the victim’s computer.
T1113Screen CaptureDonot Team has used malicious modules to take screenshots from victims.
Command and ControlT1071.001Application Layer Protocol: Web ProtocolsDonot Team has used HTTP/S for C&C communications and data exfiltration.
ExfiltrationT1048.003Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted/‌Obfuscated Non-C2 ProtocolDonot Team has used dedicated servers for exfiltration, sending the data over HTTP or HTTPS, unencrypted.

Suscríbase aquí para recibir actualizaciones sobre cualquier artículo nuevo en la sección crisis en Ucrania.

Newsletter

Discusión