Se ha observado que un actor de amenaza con presuntos lazos con la India dirige a un Servicio de Asuntos Exteriores europeos con malware capaz de recoger datos confidenciales de huéspedes comprometidos.
La actividad ha sido atribuida por Trellix Advanced Research Center a un familia innovador de amenaza persistente (APT) llamado Donot Team, que igualmente se conoce como APT-C-35, Mint Tempest, Origami Elephant, Sector02 y Viceroy Tiger. Se ha evaluado que está activo desde 2016.
“Donot APT es conocido por usar malware de Windows personalizado, incluidos puertas traseras como YTY y GEDIT, a menudo entregadas a través de correos electrónicos de phishing o documentos maliciosos”, los investigadores de Trellix Aniket Choukde, Aparna Aripirala, Alisha Kadam, Akhil Reddy, Pham Duy Phuc y Alex Lanstin.
“Este familia de amenazas generalmente se dirige a entidades gubernamentales, ministerios extranjeros, organizaciones de defensa y ONG, especialmente a las del sur de Asia y Europa”.
La cautiverio de ataque comienza con los correos electrónicos de phishing que tienen como objetivo engañar a los destinatarios para que haga clic en un enlace de Google Drive para activar la descarga de un archivo RAR, que luego allane el camino para el despliegue de un malware denominado Loptikmod, que el familia lo utiliza exclusivamente desde 2018.
Los mensajes, por trelix, se originan en una dirección de Gmail y se hacen suceder por funcionarios de defensa, con una partidura de asunto que hace relato a la reconocimiento de un adjunto de defensa italiana a Dhaka, Bangladesh.
“El correo electrónico utilizó el formato HTML con la codificación UTF-8 para mostrar correctamente caracteres especiales como ‘É’ en ‘Adjunta’, demostrando atención al detalle para aumentar la legalidad”, señaló Trellix en su deconstrucción de la secuencia de infección.
El archivo RAR distribuido a través de los correos electrónicos contiene un ejecutable taimado que imita un documento PDF, que se abre que hace que la ejecución del troyano de acercamiento remoto de Loptikmod que pueda establecer la persistencia en el host a través de tareas programadas y se conecta a un servidor remoto que envíe información del sistema, reciba más comandos, descargue módulos adicionales y exfiltrate los datos.
Asimismo emplea técnicas anti-VM y ofuscación ASCII para obstaculizar la ejecución en entornos virtuales y esquivar el disección, lo que hace que sea mucho más difícil determinar el propósito de la útil. Por otra parte, el ataque se asegura de que solo una instancia del malware se ejecute activamente en el sistema comprometido para evitar una interferencia potencial.
Trellix dijo que el servidor de comando y control (C2) utilizado en la campaña está actualmente inactivo, lo que significa que la infraestructura ha sido deshabilitada temporalmente o no es sencillo, o que los actores de amenaza se han trasladado a un servidor completamente diferente.
El estado inactivo del servidor C2 igualmente significa que actualmente no es factible determinar el conjunto exacto de comandos que se transmiten a puntos finales infectados y los tipos de datos que se envían de dorso como respuestas.
“Sus operaciones están marcadas por la vigilancia persistente, la exfiltración de datos y el acercamiento a liberal plazo, lo que sugiere un cachas motivo de espionaje cibernético”, dijeron los investigadores. “Si adecuadamente históricamente se centró en Asia del Sur, este incidente dirigido a las embajadas del sur de Asia en Europa indica una clara expansión de sus intereses alrededor de las comunicaciones e inteligencia diplomáticas europeas”.
