Les chercheurs d'ESET ont analysé deux variantes du framework yty : Gedit et DarkMusical. Leurs attaques d'espionnage ciblent les gouvernements et les militaires en Asie du Sud. La tâche principale du framework de logiciels malveillants yty est de collecter et d'exfiltrer des données.
Le groupe de piratage Donot Team (également connu sous le nom d'APT-C-35 ou SectorE02) mène des attaques d'espionnage contre des ambassades, des installations gouvernementales et militaires et des ministères des Affaires étrangères depuis au moins deux ans. Selon l'analyse des chercheurs d'ESET, les campagnes du groupe se sont concentrées sur des cibles au Bangladesh, au Sri Lanka, au Pakistan et au Népal. Leurs installations diplomatiques en Europe, au Moyen-Orient et en Amérique ont également été attaquées.
Cibler le Bangladesh, le Sri Lanka, le Pakistan et le Népal
"Nous avons enquêté de très près sur les activités de l'équipe Donot et avons découvert plusieurs campagnes", déclare Facundo Muñoz, chercheur ESET et chercheur principal. "Dans leurs attaques, les pirates s'appuient sur des logiciels malveillants Windows dérivés du framework de logiciels malveillants yty du groupe."
L'objectif principal du framework de logiciels malveillants yty est de collecter et d'exfiltrer des données. Le cadre consiste en une chaîne de téléchargeurs qui téléchargent finalement une porte dérobée à installer, à travers laquelle d'autres composants des outils Donot Team sont téléchargés et exécutés. Ceux-ci incluent des collecteurs de fichiers, des captureurs d'écran, des enregistreurs de frappe, des shells inversés, etc.
Attaques de harponnage contre les installations
Un examen attentif des données d'analyse a révélé que l'équipe Donot ciblait les mêmes installations avec des e-mails de harponnage tous les deux à quatre mois. Les messages contiennent des documents Microsoft Office malveillants joints, que les attaquants utilisent pour faire proliférer leurs logiciels malveillants. Fait intéressant, les e-mails que les chercheurs d'ESET ont pu examiner ne montraient aucun signe d'usurpation d'identité. « Certains messages ont été envoyés par les mêmes organisations qui ont été attaquées. Il est possible que les attaquants aient compromis les boîtes aux lettres de certaines de leurs victimes lors de campagnes précédentes, ou les serveurs de messagerie utilisés par ces organisations », explique Muñoz.
Dans leur dernier article de blog, les chercheurs d'ESET analysent deux variantes du framework de logiciels malveillants yty : Gedit et DarkMusical. Les experts du fabricant européen de sécurité informatique ont décidé d'appeler une variante DarkMusical car les attaquants ont choisi les noms de célébrités occidentales ou de personnages du film "High School Musical" pour leurs données et dossiers. Ce logiciel malveillant a été utilisé dans des campagnes d'attaques d'espionnage ciblant également des installations militaires au Bangladesh et au Népal.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.