ESET の研究者は、yty フレームワークの XNUMX つの亜種である Gedit と DarkMusical を分析しました。 彼らのスパイ攻撃は、南アジアの政府と軍を標的にしています。 yty マルウェア フレームワークの主なタスクは、データの収集と抽出です。
ハッキング グループ Donot Team (APT-C-35 または SectorE02 としても知られる) は、少なくとも XNUMX 年間、大使館、政府および軍事施設、外務省に対してスパイ攻撃を行ってきました。 ESET の研究者の分析によると、このグループのキャンペーンは、バングラデシュ、スリランカ、パキスタン、ネパールを標的にしていました。 ヨーロッパ、中東、アメリカにある彼らの外交施設も攻撃されました。
バングラデシュ、スリランカ、パキスタン、ネパールを標的とする
「私たちは Donot チームの活動を綿密に調査しており、いくつかのキャンペーンを発見しました」と、ESET の研究者で主任調査員の Facundo Muñoz 氏は述べています。 「攻撃において、ハッカーはグループの yty マルウェア フレームワークから派生した Windows マルウェアに依存しています。」
yty マルウェア フレームワークの主な目的は、データを収集して盗み出すことです。 このフレームワークは、最終的にバックドアをダウンロードしてインストールする一連のダウンローダで構成されています。バックドアを介して、Donot Team ツールの他のコンポーネントがダウンロードされ、実行されます。 これらには、ファイル コレクター、スクリーン キャプチャー、キーロガー、リバース シェルなどが含まれます。
施設へのスピアフィッシング攻撃
分析データを詳しく調べたところ、Donot チームが XNUMX ~ XNUMX か月ごとにスピアフィッシング メールで同じ施設を標的にしていることが明らかになりました。 メッセージには悪意のある Microsoft Office ドキュメントが添付されており、攻撃者はこれを使用してマルウェアを増殖させます。 興味深いことに、ESET の研究者が調査できた電子メールには、なりすましの兆候は見られませんでした。 「一部のメッセージは、攻撃を受けたのと同じ組織から送信されました。 攻撃者は、以前のキャンペーンで被害者の一部のメールボックス、またはこれらの組織が使用するメール サーバーを侵害した可能性があります」と Muñoz 氏は言います。
最新のブログ記事で、ESET の研究者は yty マルウェア フレームワークの XNUMX つの亜種 (Gedit と DarkMusical) を分析しています。 ヨーロッパの IT セキュリティ メーカーの専門家は、攻撃者が西洋の有名人や映画「ハイスクール ミュージカル」の登場人物の名前をデータとフォルダーに選んだため、亜種を DarkMusical と呼ぶことにしました。 このマルウェアは、バングラデシュとネパールの軍事施設も標的としたスパイ攻撃キャンペーンで使用されました。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。