Um ator de ameaças com suspeitas de vínculos com a Índia foi observado visando um ministério de relações exteriores europeu com malware capaz de coletar dados sensíveis de hosts comprometidos.
A atividade foi atribuída pelo Trellix Advanced Research Center a um grupo de advanced persistent threat (APT) chamado DoNot Team, também conhecido como APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 e Viceroy Tiger.
Avalia-se que esteja ativo desde 2016.
"DoNot APT é conhecido por usar malware Windows personalizado, incluindo backdoors como YTY e GEdit, frequentemente entregues através de emails de spear-phishing ou documentos maliciosos," afirmaram os pesquisadores da Trellix, Aniket Choukde, Aparna Aripirala, Alisha Kadam, Akhil Reddy, Pham Duy Phuc e Alex Lanstein.
Este grupo de ameaças normalmente mira em entidades governamentais, ministérios estrangeiros, organizações de defesa e ONGs, especialmente aquelas na Ásia do Sul e na Europa.
A cadeia de ataque começa com emails de phishing que têm como objetivo induzir os destinatários a clicarem em um link do Google Drive para acionar o download de um arquivo RAR, que então abre caminho para o deployment de um malware apelidado de LoptikMod, que é utilizado exclusivamente pelo grupo desde 2018.
As mensagens, conforme a Trellix, originam-se de um endereço Gmail e se passam por oficiais de defesa, com uma linha de assunto que faz referência à visita de um Adido de Defesa italiano a Dhaka, Bangladesh.
"O e-mail utilizou formatação HTML com codificação UTF-8 para exibir corretamente caracteres especiais como 'é' em 'Attaché', demonstrando atenção aos detalhes para aumentar a legitimidade," a Trellix observou em sua desconstrução da sequência de infecção.
O arquivo RAR distribuído via emails contém um executável malicioso que imita um documento PDF, cuja abertura causa a execução do remote access trojan LoptikMod que pode estabelecer persistência no host via tarefas agendadas e conectar-se a um servidor remoto para enviar informações do sistema, receber comandos adicionais, baixar módulos adicionais e exfiltrar dados.
Também emprega técnicas anti-VM e obfuscação ASCII para dificultar a execução em ambientes virtuais e evadir análise, tornando muito mais desafiador determinar o propósito da ferramenta.
Além disso, o ataque garante que apenas uma instância do malware esteja ativamente executando no sistema comprometido para evitar interferências potenciais.
A Trellix disse que o servidor de command-and-control (C2) usado na campanha está atualmente inativo, o que significa que a infraestrutura foi desativada temporariamente ou não está mais funcional, ou que os atores da ameaça mudaram para um servidor completamente diferente.
O estado inativo do servidor C2 também significa que atualmente não é possível determinar o conjunto exato de comandos que são transmitidos aos endpoints infectados e os tipos de dados que são enviados de volta como respostas.
"Suas operações são marcadas por vigilância persistente, exfiltração de dados e acesso de longo prazo, sugerindo um forte motivo de espionagem cibernética," disseram os pesquisadores.
Embora historicamente focados na Ásia do Sul, este incidente visando embaixadas sul-asiáticas na Europa, indica uma clara expansão de seus interesses em direção às comunicações diplomáticas europeias e inteligência.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...