Дослідники ESET проаналізували два варіанти фреймворку yty: Gedit і DarkMusical. Їхні шпигунські атаки спрямовані проти урядів і військових у Південній Азії. Основне завдання фреймворку зловмисного програмного забезпечення yty — збирати та викрадати дані.
Хакерська група Donot Team (також відома як APT-C-35 або SectorE02) щонайменше два роки проводила шпигунські атаки на посольства, урядові та військові об’єкти, міністерства закордонних справ. Згідно з аналізом дослідників ESET, кампанії групи були зосереджені на цілях у Бангладеш, Шрі-Ланці, Пакистані та Непалі. Також були атаковані їхні дипломатичні установи в Європі, на Близькому Сході та в Америці.
Орієнтація на Бангладеш, Шрі-Ланку, Пакистан і Непал
«Ми дуже ретельно досліджували діяльність команди Donot і виявили кілька кампаній», — говорить Факундо Муньос, дослідник ESET і провідний дослідник. «У своїх атаках хакери покладаються на зловмисне програмне забезпечення Windows, отримане з інфраструктури зловмисного програмного забезпечення групи yty».
Основна мета фреймворку зловмисного програмного забезпечення yty — збирати та викрадати дані. Фреймворк складається з ланцюжка завантажувачів, які зрештою завантажують бекдор для встановлення, через який завантажуються та запускаються інші компоненти інструментів Donot Team. До них належать збирачі файлів, захоплення екрана, кейлоггери, зворотні оболонки тощо.
Підводні атаки на об'єкти
Ретельний аналіз аналітичних даних показав, що команда Donot націлювалася на одні й ті самі об’єкти, надсилаючи електронні листи кожні два-чотири місяці. Повідомлення містять шкідливі документи Microsoft Office, які зловмисники використовують для поширення свого шкідливого програмного забезпечення. Цікаво, що електронні листи, які дослідники ESET змогли перевірити, не виявили ознак спуфінгу. «Деякі повідомлення були надіслані тими ж організаціями, які зазнали атаки. Цілком можливо, що зловмисники скомпрометували поштові скриньки деяких своїх жертв у попередніх кампаніях або поштові сервери, які використовували ці організації», — каже Муньос.
У своїй останній статті в блозі дослідники ESET аналізують два варіанти фреймворку зловмисного програмного забезпечення yty: Gedit і DarkMusical. Фахівці європейського виробника IT-безпеки вирішили назвати варіант DarkMusical, оскільки зловмисники вибрали для своїх даних і папок імена західних знаменитостей або персонажів фільму «Шкільний мюзикл». Це зловмисне програмне забезпечення використовувалося в кампаніях шпигунських атак, які також були спрямовані на військові об’єкти в Бангладеш і Непалі.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.