ESET Forscher haben zwei Varianten des yty Frameworks analysiert: Gedit und DarkMusical. Ihre Spionageangriffe zielen auf Regierungen und Militärs in Südasien. Hauptaufgabe des yty-Malware-Frameworks besteht darin, Daten zu sammeln und zu exfiltrieren.
Die Hackergruppe Donot Team (auch bekannt als APT-C-35 oder SectorE02) hat seit mindestens zwei Jahren Spionageangriffe auf Botschaften, Regierungs- und Militäreinrichtungen sowie Außenministerien durchgeführt. Laut den Analysen der ESET Forscher konzentrierten sich die Kampagnen der Gruppe auf Ziele in Bangladesch, Sri Lanka, Pakistan und Nepal. Hierbei wurden auch deren diplomatische Einrichtungen in Europa, dem Nahen Osten und Amerika attackiert.
Bangladesch, Sri Lanka, Pakistan und Nepal im Visier
„Wir haben die Aktivitäten des Donot Teams sehr genau untersucht und sind dabei mehreren Kampagnen auf die Spur gekommen“, sagt Facundo Muñoz, ESET Forscher und Leiter der Untersuchungen. „Bei ihren Angriffen setzen die Hacker auf Windows-Malware, die vom yty-Malware-Framework der Gruppe stammt.“
Der Hauptzweck des yty-Malware-Frameworks besteht darin, Daten zu sammeln und zu exfiltrieren. Das Framework besteht aus einer Kette von Downloadern, die letztlich eine Backdoor zu installieren herunterladen, über die weitere Komponenten der Donot-Team-Werkzeuge heruntergeladen und ausgeführt werden. Dazu gehören Dateisammler, Screen-Capturer, Keylogger, Reverse Shells und mehr.
Spearphishing-Angriffe auf Einrichtungen
Ein genauer Blick auf die Analysedaten hat gezeigt, dass das Donot Team alle zwei bis vier Monate dieselben Einrichtungen mit Spearphishing-E-Mails angegriffen hat. Die Nachrichten enthalten bösartige Microsoft Office-Dokumente im Anhang, die die Angreifer zur Verbreitung ihrer Malware nutzen. Interessanterweise wiesen die E-Mails, die sich die ESET Forscher genauer anschauen konnten, keine Anzeichen von Spoofing auf. „Einige Nachrichten wurden von denselben Organisationen verschickt, die auch attackiert wurden. Es ist möglich, dass die Angreifer die Postfächer von einigen ihrer Opfer in früheren Kampagnen kompromittiert haben oder den von diesen Organisationen verwendeten Mail-Server“, sagt Muñoz.
In ihrem aktuellen Blog-Artikel analysieren die ESET Forscher zwei Varianten des yty-Malware-Frameworks: Gedit und DarkMusical. Die Experten des europäischen IT-Sicherheitsherstellers haben sich dazu entschlossen, eine Variante DarkMusical zu nennen, weil die Angreifer für ihre Daten und Ordner Namen westlicher Berühmtheiten oder Figuren aus dem Film „High School Musical“ wählten. Dieses Schadprogramm kam in Kampagnen für Spionageangriffe zum Einsatz, die mit auf militärische Einrichtungen in Bangladesch und Nepal abzielten.
Mehr bei ESET.com
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.