- 13,579
- 20
- 8 Ноя 2022
Группа DoNot Team вернулась в киберпространство с новыми инструментами.
Специалисты Лаборатории Касперского Для просмотра ссылки Войдиили Зарегистрируйся активность группировки DoNot Team. В частности, было выявлено использование нового бэкдора на базе .NET под названием Firebird, затронувшего лишь небольшое число жертв в Пакистане и Афганистане.
В цепочке атак также был обнаружен загрузчик, получивший название CSVtyrei. Исследователи безопасности отметили, что некоторый код в образцах оказался нефункциональным, что указывает на то, что загрузчик ещё находится на стадии разработки.
Специалисты предполагают, что загрузчик CSVtyrei является обновлённой версией Vtyrel (BREEZESUGAR) – загрузчика, ранее используемого группировкой для доставки фреймворка RTY1, который является преемником фреймворка YTY. YTY позволяет извлекать информацию о жертве, включая файлы с заданными расширениями, перехваченные строки ввода, список процессов, скриншоты.
DoNot Team (APT-C-35, Origami Elephant, SECTOR02) предположительно происходит из Индии и активна как минимум с 2016 года. В своих атаках группа использует специализированные фишинговые письма и поддельные Android-приложения для распространения вредоносного ПО. В октябре 2021 года правозащитная организация Amnesty International Для просмотра ссылки Войдиили Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> свидетельства, связывающие инфраструктуру группировки с индийской ИБ-компанией.</span>
Специалисты Лаборатории Касперского Для просмотра ссылки Войди
В цепочке атак также был обнаружен загрузчик, получивший название CSVtyrei. Исследователи безопасности отметили, что некоторый код в образцах оказался нефункциональным, что указывает на то, что загрузчик ещё находится на стадии разработки.
Специалисты предполагают, что загрузчик CSVtyrei является обновлённой версией Vtyrel (BREEZESUGAR) – загрузчика, ранее используемого группировкой для доставки фреймворка RTY1, который является преемником фреймворка YTY. YTY позволяет извлекать информацию о жертве, включая файлы с заданными расширениями, перехваченные строки ввода, список процессов, скриншоты.
DoNot Team (APT-C-35, Origami Elephant, SECTOR02) предположительно происходит из Индии и активна как минимум с 2016 года. В своих атаках группа использует специализированные фишинговые письма и поддельные Android-приложения для распространения вредоносного ПО. В октябре 2021 года правозащитная организация Amnesty International Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
