Los investigadores de ESET analizan en profundidad los ataques recientes llevados a cabo por Donot Team a lo largo de 2020 y 2021, dirigidos a entidades gubernamentales y militares en varios países del sur de Asia.
Donot Team (también conocido como APT-C-35 y SectorE02) es un actor de amenazas que opera desde al menos 2016 y es conocido por atacar a organizaciones e individuos en el sur de Asia con malware para Windows y Android. Un reciente informe de Amnistía Internacional vincula el malware del grupo con una empresa india de ciberseguridad que puede estar vendiendo el spyware u ofreciendo un servicio de hackers a sueldo a los gobiernos de la región.
Hemos estado siguiendo de cerca las actividades de Donot Team y hemos rastreado varias campañas que aprovechan el malware de Windows derivado de la firma del grupo. marco de malware yty. De acuerdo con nuestros hallazgos, el grupo es muy persistente y se ha enfocado consistentemente en las mismas organizaciones durante al menos los últimos dos años.
En esta publicación de blog, documentamos dos variantes del malware utilizado en campañas recientes: DarkMusical y Gedit. Para cada una de las variantes, analizamos toda la cadena de ataque y brindamos información sobre cómo el grupo actualiza sus herramientas, tácticas y técnicas.
Orden de Targets o Metas
Las campañas de Donot Team están motivadas por el espionaje, utilizando su malware característico: el marco de malware "yty", cuyo objetivo principal es recopilar y exfiltrar datos. Según nuestra telemetría, el equipo Donot se enfoca en una pequeña cantidad de objetivos en el sur de Asia: Bangladesh, Sri Lanka, Pakistán y Nepal, como se ve en la Figura 1.
Figura 1. Países objetivo en campañas recientes de Donot Team
Estos ataques se centran en:
- Organizaciones gubernamentales y militares
- Ministerios de Relaciones Exteriores
- Embajadas
Ir tan lejos como apuntar a las embajadas de estos países en otras regiones, como el Medio Oriente, Europa, América del Norte y América Latina, tampoco está fuera del ámbito de Donot Team.
Intente, intente, intente de nuevo
No es raro que los operadores de APT intenten recuperar el acceso a una red comprometida después de haber sido expulsados de ella. En algunos casos, esto se logra mediante el despliegue de una puerta trasera más sigilosa que permanece en silencio hasta que los atacantes la necesitan; en otros casos, simplemente reinician su funcionamiento con nuevo malware o una variante del malware que usaban anteriormente. Este último es el caso de los operadores de Donot Team, solo que son notablemente persistentes en sus intentos.
De acuerdo con la telemetría de ESET, Donot Team se ha dirigido consistentemente a las mismas entidades con oleadas de correos electrónicos de phishing con archivos adjuntos maliciosos cada dos o cuatro meses. Curiosamente, los correos electrónicos que pudimos recuperar y analizar no mostraron signos de suplantación de identidad. Algunos correos electrónicos fueron enviados desde las mismas organizaciones que estaban siendo atacadas. Es posible que los atacantes hayan comprometido las cuentas de correo electrónico de algunas de sus víctimas en campañas anteriores, o el servidor de correo electrónico utilizado por esas organizaciones.
Con los correos electrónicos de spearphishing, los atacantes usan documentos maliciosos de Microsoft Office para implementar su malware. Hemos visto al Equipo Donot usando al menos tres técnicas. Uno son las macros en documentos de Word, Excel y PowerPoint, como el ejemplo que se ve en la Figura 2.
Figura 2. Macro maliciosa en un documento de PowerPoint que suelta un ejecutable de descarga y crea una tarea programada para ejecutarlo
La segunda técnica son los archivos RTF con .doc extensiones que aprovechan la vulnerabilidad de corrupción de memoria CVE‑2017‑11882 en Equation Editor, que se muestra en la Figura 3. Estos documentos RTF también contienen dos archivos DLL integrados como objetos OLE (consulte la Figura 4) que se utilizan para instalar y descargar otros componentes (ambos archivos DLL se describen en la sección Gedit). Esto permite a los atacantes ejecutar shellcode y no requiere interacción del usuario. El shellcode despliega los componentes principales del malware.
Figura 3. CLSID del objeto COM utilizado por el documento RTF para cargar el Editor de ecuaciones; el objeto OLE resultante contiene el exploit CVE-2017-1182
Figura 4. Los encabezados de objetos OLE de las DLL también incrustados en el documento RTF
La tercera técnica es remota. Inyección de plantilla RTF, que permite a los atacantes descargar una carga útil desde un servidor remoto cuando se abre el documento RTF. Esto se logra insertando una URL en el opcional *modelo palabra de control del formato de archivo RTF, en lugar de la ubicación de un recurso de archivo local. La carga útil que usa Donot Team es otro documento que explota CVE-2017-11882 y se carga automáticamente una vez que se descarga. Esto se muestra en la Figura 5.
Figura 5. Cuando Word abre un archivo RTF con una plantilla remota, automáticamente intenta descargar el recurso
El marco de malware de yty
Descubierto por NetScout en 2018, el marco de malware yty es un sucesor menos sofisticado y mal desarrollado de un marco anterior llamado EHDevel. El marco yty consta de una cadena de descargadores que, en última instancia, descargan una puerta trasera con una funcionalidad mínima, que se utiliza para descargar y ejecutar otros componentes del conjunto de herramientas de Donot Team.
Estos incluyen recopiladores de archivos basados en la extensión del archivo y el año de creación, capturadores de pantalla, registradores de teclas, shells inversos y más. Como se ve en la Figura 6, los componentes para la exfiltración recopilan la inteligencia recopilada de las carpetas provisionales y cargan cada archivo en un servidor designado que se usa solo para este propósito.
Figura 6. Componente que resuelve el nombre de la carpeta para preparar capturas de pantalla JPEG (izquierda) y componente de exfiltración que encuentra todos los archivos en la carpeta de preparación (derecha)
Los nombres y las ubicaciones de las carpetas provisionales se cambian con casi todas las campañas nuevas, así como algunos de los nombres de archivo de los componentes. Sin embargo, hay casos en los que los nombres de los componentes no han cambiado, por ejemplo: gedit.exe, wuaupdt.exe, lmpss.exe, disco.exe, entre otros. Como se ve en la Figura 7, parece que para cada nueva campaña, para establecer nuevas rutas y nombres de archivo, estos valores deben cambiarse en el código fuente y luego volver a compilarse, ya que ninguno de estos componentes usa un bloque o archivo de configuración.
Figura 7. Cadenas encriptadas que contienen ubicaciones y nombres de archivo que se cambian con regularidad (arriba) y valores no encriptados usados en la construcción de la URL de C&C (abajo)
El malware utiliza tareas programadas para la persistencia y alterna entre archivos DLL y EXE entre campañas. En el caso de las DLL, las tareas programadas se ejecutan rundll32.exe para cargarlos y ejecutar una de las funciones exportadas.
Los desarrolladores del marco yty se basan principalmente en el lenguaje de programación C++. Probablemente en un intento de evadir la detección, también han portado sus componentes a otros lenguajes como VBScript, Python (empaquetado con PyInstaller), Visual C# y AutoIt, entre otros. Sin embargo, desde 2019 solo los hemos visto aprovechando componentes programados en C++ (Figura 8) y Go (Figura 9).
Figura 8. Código descompilado del componente que captura capturas de pantalla, escrito originalmente en C++
Figura 9. Código descompilado del componente que captura capturas de pantalla, para la versión escrita en Go
El malware a veces usa dos o tres servidores durante su implementación. Puede usar un servidor durante su cadena de descargadores y un servidor diferente con el que contacta la puerta trasera para recibir sus comandos y descargar más componentes, o usar el mismo servidor para ambos propósitos. Siempre se utiliza un servidor diferente para cargar la información recopilada. En algunos ataques, Donot Team ha reutilizado dominios C&C de ataques anteriores, tanto para descargas como para exfiltración. Como se ve en la Figura 10, la Figura 11 y la Figura 12, estos componentes, que luego se describen como una variante que rastreamos como oscuromusical – utilizado en el mismo ataque, empleó tres dominios C&C diferentes.
Figura 10. El primer descargador descifra la URL del servidor desde el que descarga la siguiente etapa de la cadena
Figura 11. En etapas posteriores, la puerta trasera utiliza un servidor diferente para las comunicaciones de C&C
Figura 12. Los componentes de exfiltración utilizan un tercer servidor para cargar los archivos recopilados
Cronología de los ataques
Aquí describimos las variantes de malware utilizadas en campañas recientes de Donot Team, con un enfoque en su malware de Windows, desde septiembre de 2020 hasta octubre de 2021. Para mayor claridad, las hemos separado en dos variantes del marco de malware yty: Gedit y DarkMusical, con una campaña específica usando Gedit que llamamos Henos.
En la Figura 13, presentamos una línea de tiempo, según nuestra telemetría, de los ataques. También en nuestra línea de tiempo hemos incluido ataques de otra variante, conocida como el "marco de Jaca". Sin embargo, no lo describiremos aquí ya que se ha descrito extensamente en este informe de la CN-SEC.
Figura 13. Cronología de los ataques de Donot Team desde septiembre de 2020 hasta octubre de 2021 según la telemetría de ESET
oscuromusical
Según la telemetría de ESET, la primera ola de ataques en los que se utilizó esta variante ocurrió en junio de 2021, y tuvo como objetivo a organizaciones militares en Bangladesh. Solo pudimos recuperar su cadena de descargadores y su puerta trasera principal. Dada la pequeña cantidad de víctimas, creemos que este podría haber sido un ataque altamente dirigido.
En septiembre, una segunda ola de ataques dirigidos a organizaciones militares en Nepal utilizó nuevos servidores de C&C y nombres de archivos y carpetas provisionales. Pudimos recuperar una cantidad de componentes descargados por la puerta trasera, por lo que decidimos describir estos ataques en su lugar.
Los correos electrónicos de phishing se enviaron con documentos de PowerPoint que contenían una macro que implementa el primer componente de una cadena de descargadores y persiste usando una tarea programada. Cuando las posibles víctimas abran estos documentos, se les presentará un mensaje de error falso, como se ve en la Figura 14, y los documentos permanecerán sin ningún contenido visible.
Figura 14. Captura de pantalla de un documento de PowerPoint malicioso en blanco
Como se ve en la Figura 15, la cadena de descargadores tiene como objetivo descargar un componente final que funciona como una puerta trasera con una funcionalidad mínima: descarga componentes independientes, los ejecuta usando el ShellExecute API de Windows, obtenga y guarde nuevas URL de C&C.
La puerta trasera descarga los componentes que manejan la recopilación y exfiltración de información a un servidor dedicado. Estos componentes no se comunican con la puerta trasera o el C&C para informar sobre sus actividades, sino que utilizan una carpeta designada para la puesta en escena de los datos, y un componente de exfiltración separado recopilará todo y lo cargará.
Figura 15. Cadena de compromiso observada para DarkMusical
Decidimos llamar a esta campaña DarkMusical por los nombres que los atacantes eligieron para sus archivos y carpetas: muchos son celebridades occidentales o personajes de la película High School Musical. La Tabla 1 describe brevemente el propósito de cada uno de los componentes de la cadena de compromiso.
Tabla 1. Componentes en la cadena de compromiso de la campaña DarkMusical
| Nombre del archivo | Descripción |
|---|---|
| rihana.exe | Este ejecutable es soltado por el documento malicioso para %public%Musicrihana.exe y persistencia establecida a través de una tarea programada llamada Musudt. Descarga el archivo a %public%Musicacrobat.dll y suelta un archivo BAT en %public%Musicsidilieicaliei.bat. El archivo BAT llama schtasks.exe para crear el hmomci tarea programada para ejecutar |
| acrobat.dll | Descarga el archivo y lo guarda como %público%Musicswift Además, puede emitir un systeminfo.exe comando cuya salida se redirige a %público%Músicajustin. El contenido del archivo se envía a su servidor C&C. Suelta y ejecuta el archivo. %public%Musicjanifer.bat que realiza varias tareas: • Crea dos tareas programadas: - scmos ejecutar %public%MusicTroyforbidden.exe - msoudatee que ejecuta %public%MusicGabriellaremember.exe • Mueve el rápido archivo en el Gabriella carpeta y le cambia el nombre a recordar.exe • Intentos de eliminar acrobat.dll y rihana.exe • Elimina las tareas programadas nombradas hmomci y Musudt • Se elimina a sí mismo |
| recordar.exe | Descarga el archivo a %public%MusicTroyforbidden.exe |
| prohibido.exe | Utiliza la URL almacenada en %público%MúsicaTaylorbandera expediente; si no hay URL, utiliza su URL predeterminada. Acepta tres comandos: • Establecer URL en el bandera presentar • Ejecutar archivo con ShellExecute API de Windows • Descargar archivo a %público%MúsicaTaylor |
En la Tabla 2, describimos el propósito de cada componente del conjunto de herramientas del atacante.
Tabla 2. Descripción de los componentes del conjunto de herramientas del atacante para DarkMusical
| Nombre del archivo | Descripción |
|---|---|
| serviceup.exe | conchas inversas |
| sdudate.exe | |
| srcot.exe | Toma capturas de pantalla, las guarda en %público%MúsicaSinfonía |
| Tres variantes de nDExiD.exe | Recopila archivos creados en 2021 y después, y los copia en la carpeta provisional %público%MúsicaSinfonía
Recopila archivos por extensión: doc, docx, eml, En p, jpeg, jpg, MSG, odt, pdf, pps, ppx, ppt, PPTX, rtf, txt, xls, Xlsx |
| Igual que el anterior, pero los archivos deben haberse creado en 2020 o después. | |
| Recolector de archivos que supervisa la inserción de unidades USB y los cambios dentro del sistema de archivos. Recopila los mismos documentos por extensión que el anterior, pero también incluye archivos con extensiones: documento, mbox, pst | |
| upsvcsu.exe | Exfiltra los archivos recopilados.
Enumera todos los archivos en %público%MúsicaSinfonía y sube las que coinciden con las extensiones: doc, docx, eml, En p, jpeg, jpg, MSG, odt, pdf, pps, ppx, ppt, PPTX, rtf, txt, xls, Xlsx |
Gedit
Detectamos los primeros ataques de la campaña utilizando Gedit en septiembre de 2020, contra organizaciones en Pakistán que ya habían sido atacadas con spearphishing y documentos RTF maliciosos que instalaron el marco Jaca. Desde entonces, el equipo de Donot pasó a centrarse en objetivos en Bangladesh, Nepal y Sri Lanka. El malware se deriva claramente del marco de malware yty, pero es lo suficientemente distinto como para separarlo de DarkMusical.
Pudimos recuperar un correo electrónico de spearphishing correspondiente a una campaña de Gedit que ocurrió en febrero de 2021, que se muestra en la Figura 16. El primer archivo adjunto contenía una lista de personal de una entidad militar en Bangladesh (y sin contenido malicioso). El segundo archivo adjunto no mostraba nada más que una página en blanco, mientras se ejecutaba un código malicioso.
Figura 16. Captura de pantalla de un correo electrónico de spearphishing enviado por los atacantes
Podemos ver que el tamaño del segundo archivo es mayor a 2 MB. Es un archivo RTF que explota CVE-2017-11882 para colocar dos archivos DLL contenidos en el documento y ejecutar uno de ellos. Otros componentes se descargan a la computadora comprometida en varias etapas. En la Figura 17 se muestra una descripción general de esta cadena de ataque y sus componentes de malware.
Figura 17. Cadena de compromiso en campañas de Gedit
Los componentes fueron codificados en Go y C++ (con compiladores MinGW y Visual Studio). Hemos optado por describir los componentes utilizados en esa campaña de febrero de 2021, que se muestran en la Tabla 3.
Tabla 3. Descripción de los componentes de la variante Gedit
| Nombre del archivo | Descripción |
|---|---|
| vbtr.dll | Mueve el archivo %TEMP%bcs01276.tmp a %PERFIL DE USUARIO%Documentosmsdn022.dll
Crea una tarea programada Actualización de la mafia ejecutar |
| msdn022.dll | Descarga un archivo a %APPDATA%mscx01102 (más tarde renombrado a Winhlp.exe).
Escribe y ejecuta %APPDATA%prueba.bat, cuales: |
| Winhlp.exe | Descarga un archivo a %PERFIL DE USUARIO%infboostOOOnprint.exe (si no existe o su tamaño es inferior a 50 kB). |
| nprint.exe | Envía una solicitud a un servidor y, dependiendo de la respuesta, se pueden realizar tres acciones: • Si qwertyuiop está en los encabezados de respuesta, luego se descarga un archivo a • Si asdfghjklzx está en los encabezados de respuesta, luego intenta ejecutar • Si zxcvbnmlkjhgfd está en los encabezados de respuesta, luego intenta ejecutar Si un archivo |
| wuaupdt.exe | caparazón inverso. |
| lmpss.exe | Toma capturas de pantalla y las guarda, en un ciclo infinito, para %PERFIL DE USUARIO%Aplicaciones de escritorio remoto |
| innod.exe | coleccionista de archivos. Itera recursivamente a través de unidades, registrando archivos interesantes para Busca archivos con las extensiones: doc, docx, xls, Xlsx, ppt, pps, PPTX, ppx, pdf, En p, MSG, jpg, jpeg, png, txt Excluye los siguientes archivos/carpetas: ., .., nohiucf, Windows, Lugares recientes, archivo temporal, Programa archivos, Programa archivos (X86), Datos de programa, Microsoft, Caché de paquetes Este componente se ejecuta en un bucle infinito, iterando unidades desde C: a H: |
| gedit.exe | Envía los archivos recopilados a un servidor. Todos los archivos que están en %PERFIL DE USUARIO%Aplicaciones de escritorio remoto se envían uno por uno, sin cifrar. No hay verificación de extensión, aparte de excluir . y ..
El identificador de la víctima que se escribió para %USERPROFILE%Políticaen-usAsistente de archivos se adjunta a la URL. Si el archivo no existe, entonces la cadena predeterminada HeloBSiamabcferss se utiliza en su lugar. El agente de usuario es: Crea un evento del sistema. aaaaaaaaa para asegurarse de que solo se ejecuta una instancia del componente a la vez. |
campaña de henos
Finalmente, cabe mencionar una ola de ataques que se produjo entre febrero y marzo de 2021, contra organizaciones militares en Bangladesh y Sri Lanka. Estos ataques utilizaron la variante Gedit del malware, pero con algunas modificaciones menores. Por lo tanto, decidimos nombrar esta campaña Henos en nuestra línea de tiempo, después de su DLL de puerta trasera: henos.dll.
Las muestras pertenecientes a los componentes de esta ola de ataques también se informaron en línea en febrero, lo que probablemente explica por qué el grupo no volvió a usar los componentes (ver este tweet de los investigadores de Shadow Chaser Group, por ejemplo).
Aunque no encontramos los correos electrónicos de phishing o documentos maliciosos correspondientes, la cadena de ataque es presumiblemente la misma que describimos anteriormente, con algunas diferencias menores en la forma en que se ejecutan los componentes. En la Figura 18 se muestra una descripción general de esto.
Figura 18. Cadena de compromiso de la campaña Henos
Si bien algunos de los componentes de esta campaña se denominan javatemp.exe y pytemp.exe, estos nombres de archivo probablemente solo se eligieron en un intento de imitar software legítimo como Java o Python. Mientras pytemp.exe y plaapas.exe fueron codificados en el lenguaje Go, javatemp.exe fue codificado en C++ (compilado con MinGW).
Una nota final es que el componente que realiza la exfiltración de archivos, pytemp.exe, realiza una comprobación para ver si gedit.exe Esta corriendo. Si se encuentran dos o más instancias, se cierra. Creemos que esto es un error de los programadores, ya que debería verificar pytemp.exe en cambio. Sin embargo, este simple error nos ayuda a relacionar la campaña de Henos con la variante Gedit del malware (agregado a la similitud del código).
Conclusión
Donot Team compensa su baja sofisticación con tenacidad. Esperamos que continúe avanzando a pesar de sus muchos contratiempos. Solo el tiempo dirá si el grupo evoluciona sus TTP y malware actuales.
Para cualquier consulta, o para enviar ejemplos relacionados con el tema, contáctenos en Threatintel@eset.com.
Indicadores de compromiso (IoC)
Puede encontrar una lista completa de indicadores de compromiso (IoC) y muestras en nuestro Repositorio GitHub.
Gedit – octubre de 2021
Muestras
| SHA-1 | Nombre del archivo | Nombre de detección de ESET |
|---|---|---|
| 78E82F632856F293BDA86D77D02DF97EDBCDE918 | cdc.dll | Win32/TrojanDownloader.Donot.C |
| D9F439E7D9EE9450CD504D5791FC73DA7C3F7E2E | wbiosr.exe | Win32/TrojanDownloader.Donot.D |
| CF7A56FD0613F63418B9DF3E2D7852FBB687BE3F | vdsc.exe | Win32/TrojanDownloader.Donot.E |
| B2263A6688E512D90629A3A621B2EE003B1B959E | wuaupdt.exe | Win32/ReverseShell.J |
| 13B785493145C85B005E96D5029C20ACCFFE50F2 | gedit.exe | Win32/Spy.Donot.A |
| E2A11F28F9511753698BA5CDBAA70E8141C9DFC3 | wscs.exe | Win32/Spy.Donot.B |
| F67ABC483EE2114D96A90FA0A39496C42EF050B5 | gedit.exe | Win32/Spy.Donot.B |
Nuestra red
Servidores de descarga
- https://request.soundedge[.]live/access/nasrzolofuju
- https://request.soundedge[.]live/access/birkalirajliruajirjiairuai
- https://share.printerjobs[.]xyz/id45sdjscj/<VICTIM_ID>
Servidor de exfiltración
- https://submin.seasonsbackup[.]xyz/backup/<VICTIM_ID>
Servidor de shell inverso
- 80.255.3[.]67
Gedit – julio de 2021
Muestras
| SHA-1 | Nombre del archivo | Nombre de detección de ESET |
|---|---|---|
| A71E70BA6F3CD083D20EDBC83C72AA823F31D7BF | hxedit.exe | Win32/TrojanDownloader.Donot.N |
| E101FB116F05B7B69BD2CAAFD744149E540EC6E9 | lmpss.exe | Win64/HackTool.Ligolo.A |
| 89D242E75172C79E2F6FC9B10B83377D940AE649 | gedit.exe | WinGo/Spy.Donot.A |
| B42FEFE2AB961055EA10D445D9BB0906144647CE | gedit.exe | WinGo/Spy.Donot.A |
| B0704492382186D40069264C0488B65BA8222F1E | disco.exe | Win32/Spy.Donot.L |
| 1A6FBD2735D3E27ECF7B5DD5FB6A21B153FACFDB | disco.exe | Win32/Spy.Donot.A |
| CEC2A3B121A669435847ADACD214BD0BE833E3AD | disco.exe | Win32/Spy.Donot.M |
| CBC4EC0D89FA7A2AD1B1708C5A36D1E304429203 | disco.exe | Win32/Spy.Donot.A |
| 9371F76527CA924163557C00329BF01F8AD9E8B7 | gedit.exe | Win32/Spy.Donot.J |
| B427744B2781BC344B96907BF7D68719E65E9DCB | wuaupdt.exe | Win32/TrojanDownloader.Donot.W |
Nuestra red
Servidor de descarga
- request.submitonline[.]club/orderme/
Servidores de exfiltración
- oceansurvey[.]club/subir/
- solicitud.soundedge[.]en vivo/ /cargar
Servidores de shell inverso
- 80.255.3[.]67
- 37.48.122[.]145
Gedit – Febrero/Marzo 2021
Muestras
| SHA-1 | Nombre del archivo | Nombre de detección de ESET |
|---|---|---|
| A15D011BED98BCE65DB597FFD2D5FDE49D46CFA2 | BN_Webmail_List 2020.doc | Win32/Exploit.Agent.UN |
| 6AE606659F8E0E19B69F0CB61EB9A94E66693F35 | vbtr.dll | Win32/Spy.Donot.G |
| 0290ABF0530A2FD2DFB0DE29248BA3CABB58D2AD | bcs01276.tmp (msdn022.dll) | Win32/TrojanDownloader.Donot.P |
| 66BA21B18B127DAA47CB16AB1F2E9FB7DE3F73E0 | Winhlp.exe | Win32/TrojanDownloader.Donot.J |
| 79A5B10C5214B1A3D7CA62A58574346C03D54C58 | nprint.exe | Win32/TrojanDownloader.Donot.K |
| B427744B2781BC344B96907BF7D68719E65E9DCB | wuaupdt.exe | Win32/TrojanDownloader.Donot.W |
| E423A87B9F2A6DB29B3BA03AE7C4C21E5489E069 | lmpss.exe | WinGo/Spy.Donot.B |
| F43845843D6E9FB4790BF70F1760843F08D43790 | innod.exe | Win32/Spy.Donot.G |
| 4FA31531108CC68FF1865E2EB5654F7B3DA8D820 | gedit.exe | Win32/Spy.Donot.G |
Nuestra red
Servidores de descarga
- firm.tplinkupdates[.]space/8ujdfuyer8d8f7d98jreerje
- firm.tplinkupdates[.]space/yu37hfgde64jskeruqbrgx
- space.lovingallupdates[.]life/orderme
Servidor de exfiltración
- oceansurvey.club/upload/
Servidor de shell inverso
- 80.255.3[.]67
Gedit – Septiembre 2020
Muestras
| SHA-1 | Nombre del archivo | Nombre de detección de ESET |
|---|---|---|
| 49E58C6DE5245796AEF992D16A0962541F1DAE0C | lmpss.exe | Win32/Spy.Donot.H |
| 6F38532CCFB33F921A45E67D84D2796461B5A7D4 | producto.exe | Win32/TrojanDownloader.Donot.K |
| FCFEE44DA272E6EB3FC2C071947DF1180F1A8AE1 | producto.exe | Win32/TrojanDownloader.Donot.S |
| 7DDF48AB1CF99990CB61EEAEB3ED06ED8E70A81B | gedit.exe | Win32/TrojanDownloader.Donot.AA |
| DBC8FA70DFED7632EA21B9AACA07CC793712BFF3 | disco.exe | Win32/Spy.Donot.I |
| CEF05A2DAB41287A495B9413D33F14D94A568C83 | wuaupdt.exe | Win32/Spy.Donot.A |
| E7375B4F37ECEA77FDA2CEA1498CFB30A76BACC7 | producto.exe | Win32/TrojanDownloader.Donot.AA |
| 771B4BEA921F509FC37016F5FA22890CA3338A65 | apic.dll | Win32/TrojanDownloader.Donot.A |
| F74E6C2C0E26997FDB4DD89AA3D8BD5B270637CC | njhy65tg.dll | Win32/TrojanDownloader.Donot.O |
Nuestra red
Servidores de descarga
- soundvista[.]club/solicitud de sesión
- soundvista[.]club/orderme/
- soundvista[.]club/winuser
Servidor de exfiltración
- request.resolverequest[.]live/upload/ -
Servidor de shell inverso
- 80.255.3[.]67
Dark Musical – Septiembre 2021
Muestras
| SHA-1 | Nombre del archivo | Nombre de detección de ESET |
|---|---|---|
| 1917316C854AF9DA9EBDBD4ED4CBADF4FDCFA4CE | rihana.exe | Win32/TrojanDownloader.Donot.G |
| 6643ACD5B07444D1B2C049BDE61DD66BEB0BD247 | acrobat.dll | Win32/TrojanDownloader.Donot.F |
| 9185DEFC6F024285092B563EFA69EA410BD6F85B | recordar.exe | Win32/TrojanDownloader.Donot.H |
| 954CFEC261FEF2225ACEA6D47949D87EFF9BAB14 | prohibido.exe | Win32/TrojanDownloader.Donot.I |
| 7E9A4A13A76CCDEC880618BFF80C397790F3CFF3 | serviceup.exe | Win32/ReverseShell.J |
| BF183A1EC4D88034D2AC825278FB084B4CB21EAD | srcot.exe | Win32/Spy.Donot.F |
| 1FAA4A52AA84EDB6082DEA66F89C05E0F8374C4C | upsvcsu.exe | WinGo/Spy.Donot.A |
| 2F2EA73B5EAF9F47DCFB7BF454A27A3FBF253A1E | sdudate.exe | Win32/ReverseShell.J |
| 39F92CBEC05785BF9FF28B7F33906C702F142B90 | ndexid.exe | Win32/Spy.Donot.C |
| 1352A8394CCCE7491072AAAC9D19ED584E607757 | ndexid.exe | Win32/Spy.Donot.E |
| 623767BC142814AB28F8EC6590DC031E7965B9CD | ndexid.exe | Win32/Spy.Donot.A |
Nuestra red
Servidores de descarga
- digitalresolve[.]en vivo/ ~ ~ /ekcvilsrkjiasfjkikiakik
- digitalresolve[.]en vivo/ ~ ~ /ziuriucjiekuiemoaeukjudjkgfkkj
- digitalresolve[.]en vivo/ ~ ~ /Sqieilcioelikalik
- soluciones de impresora[.]en vivo/ ~ ~ /Pídeme
Servidor de exfiltración
- mordida de paquete[.]en vivo/ ~ ~ /cargar
Servidores de shell inverso
- 37.120.198[.]208
- 51.38.85[.]227
Dark Musical – Junio 2021
Muestras
| SHA-1 | Nombre del archivo | Nombre de detección de ESET |
|---|---|---|
| BB0C857908AFC878CAEEC3A0DA2CBB0A4FD4EF04
6194E0ECA5D494980DF5B9AB5CEA8379665ED46A |
ertficial.dll | Win32/TrojanDownloader.Donot.X |
| ACB4DF8708D21A6E269D5E7EE5AFB5168D7E4C70 | msofficedll.dll | Win32/TrojanDownloader.Donot.L |
| B38F3515E9B5C8F4FB78AD17C42012E379B9E99A | sccmo.exe | Win32/TrojanDownloader.Donot.M |
| 60B2ADE3B339DE4ECA9EC3AC1A04BDEFC127B358 | pscmo.exe | Win32/TrojanDownloader.Donot.I |
Nuestra red
Servidores de descarga
- actualizaciones mordidas[.]en vivo/ ~ ~ /Pídeme
- actualizaciones mordidas[.]en vivo/ ~ ~ /KdkdUe7KmmGFD
- actualizaciones mordidas[.]en vivo/ ~ ~ /acdfsgbvdghd
- actualizaciones de datos[.]en vivo/ ~ ~ /DKixeXs44skdqqD
- actualizaciones de datos[.]en vivo/ ~ ~ /BcX21DKixeXs44skdqqD
Henos – Febrero/Marzo 2021
Muestras
| SHA-1 | Nombre del archivo | Nombre de detección de ESET |
|---|---|---|
| 468A04B358B780C9CC3174E107A8D898DDE4B6DE | Carta de Adquisiciones 21 de febrero.doc | Win32/Exploit.CVE-2017-11882.CP |
| 9DD042FC83119A02AAB881EDB62C5EA3947BE63E | ctlm.dll | Win32/Spy.Donot.N |
| 25825268868366A31FA73095B0C5D0B696CD45A2 | stpnaqs.pmt (jptvbh.exe) | Win32/TrojanDownloader.Donot.Z |
| 540E7338725CBAA2F33966D5C1AE2C34552D4988 | henos.dll | Win32/Spy.Donot.G |
| 526E5C25140F7A70BA9F643ADA55AE24939D10AE | plaapas.exe | WinGo/Spy.Donot.B |
| 89ED760D544CEFC6082A3649E8079EC87425FE66 | javatemp.exe | Win32/Spy.Donot.G |
| 9CA5512906D43EB9E5D6319E3C3617182BBF5907 | pytemp.exe | WinGo/Spy.Donot.A |
Nuestra red
Servidores de descarga
- info.printerupdates[.]en línea/ /Xddv21SDsxDl
- info.printerupdates[.]en línea/ ~ /XddvInXdl
- info.printerupdates[.]en línea/ ~ /ZuDDey1edXUl
- info.printerupdates[.]en línea/ ~ /Vyuib45xzlqn
Servidor de exfiltración
- https://manage.biteupdates[.]site/<PC_NAME>/uload
Técnicas MITRE ATT & CK
Esta tabla fue construida usando Versión 10 del marco ATT&CK.
| Táctica | ID | Nombre | Descripción |
|---|---|---|---|
| Desarrollo de recursos | T1588.005 | Obtener capacidades: hazañas | Donot Team ha utilizado exploits CVE-2017-11882 para ejecutar su malware de primera etapa. |
| Acceso inicial | T1566.001 | Phishing: archivo adjunto de spearphishing | Donot Team ha enviado correos electrónicos de phishing con lanza a sus víctimas con archivos adjuntos maliciosos de Word o PowerPoint. |
| Ejecución | T1204.002 | Ejecución del usuario: archivo malicioso | Donot Team ha atraído a sus víctimas para que abran archivos adjuntos de correo electrónico maliciosos. |
| T1059.005 | Intérprete de comandos y secuencias de comandos: Visual Basic | Donot Team ha utilizado macros contenidas en documentos de Power Point. | |
| T1059.003 | Intérprete de comandos y secuencias de comandos: Shell de comandos de Windows | Donot Team ha utilizado shells inversos en el sistema para ejecutar comandos. | |
| T1203 | Explotación para la ejecución del cliente | Donot Team ha utilizado exploits CVE-2017-11882 para ejecutar código en la máquina de la víctima. | |
| Persistencia | T1053.005 | Tarea/Trabajo programado: Tarea programada | Donot Team ha creado tareas programadas para la persistencia de sus componentes maliciosos. |
| Evasión de defensa | T1036.005 | Enmascaramiento: coincide con el nombre o la ubicación legítimos | Donot Team ha utilizado nombres de archivo como pytemp or javatemp para aproximar el nombre del software legítimo. |
| Descubrimiento de moléculas | T1057 | Descubrimiento de procesos | Donot Team ha implementado comprobaciones de versiones anteriores del malware que se ejecutan en el sistema de la víctima. |
| Movimiento lateral | T1534 | Pesca submarina interna | Donot Team ha enviado correos electrónicos de spearphishing a sus víctimas que provenían de la misma organización objetivo. |
| Colecciones | T1005 | Datos del sistema local | Donot Team ha utilizado módulos maliciosos que atraviesan el sistema de archivos de la víctima en busca de archivos con varias extensiones. |
| T1025 | Datos de medios extraíbles | Donot Team ha utilizado un módulo malicioso para copiar archivos de unidades extraíbles. | |
| T1074.001 | Datos escalonados: estadificación de datos locales | Donot Team ha organizado archivos para exfiltración en una sola ubicación, una carpeta en la computadora de la víctima. | |
| T1113 | Captura de pantalla | Donot Team ha utilizado módulos maliciosos para tomar capturas de pantalla de las víctimas. | |
| Comando y control | T1071.001 | Protocolo de capa de aplicación: protocolos web | El equipo de Donot ha utilizado HTTP/S para las comunicaciones de C&C y la exfiltración de datos. |
| exfiltración | T1048.003 | Exfiltración sobre protocolo alternativo: Exfiltración sobre protocolo no C2 sin cifrar/ofuscado | Donot Team ha utilizado servidores dedicados para la exfiltración, enviando los datos a través de HTTP o HTTPS, sin cifrar. |
Fuente: https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/
