Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert de récentes campagnes et un arsenal de menaces actualisées du groupe de pirates Donot Team (également connu sous les noms APT-C-35 et SectorE02). D’après les conclusions de l’étude, le groupe est très persistant et a toujours ciblé les mêmes organisations depuis au moins deux ans. ESET a surveillé Donot Team pendant plus d’un an, de septembre 2020 à octobre 2021. Selon la télémétrie d’ESET, ce groupe se concentre sur un petit nombre de cibles principalement en Asie du Sud : Bangladesh, Sri Lanka, Pakistan et Népal. Les ambassades de ces pays ont été prises pour cible dans d’autres régions : Moyen-Orient, Europe, Amérique du Nord et Amérique latine. Ces attaques visent des organisations gouvernementales et militaires, des ministères des affaires étrangères et des ambassades, et sont motivées par le cyberespionnage.

Donot Team opère depuis au moins 2016, et cible des organisations et des individus en Asie du Sud via des malwares Windows et Android. Un rapport récent d’Amnesty International établit un lien entre les malwares du groupe et une société indienne de cybersécurité, qui pourrait vendre les logiciels espions ou proposer un service de piratage à la demande à des gouvernements de la région.

« Nous avons suivi de près les activités de Donot Team et avons repéré plusieurs campagnes qui utilisent des malwares Windows dérivés du framework du malware yty, qui est propre au groupe, » a déclaré Facundo Muñoz, le chercheur d’ESET qui a mené l’enquête sur les activités du groupe.

L’objectif principal du framework « yty » est la collecte et l’exfiltration de données. Le framework se compose d’une chaîne de downloader qui finissent par télécharger une porte dérobée aux fonctionnalités minimales, utilisée pour télécharger et exécuter d’autres composants de la boîte à outils de Donot Team. Il s’agit notamment de modules de collecte de fichiers en fonction de leur extension et de l’année de création, de capture d’écran, d’enregistrement de frappe, de reverse shells, etc.

Lire aussi  ESET Research découvre des vulnérabilités dans les ordinateurs portables grand public du fabricant Lenovo, exposant les utilisateurs à un risque d’installation de malware UEFI

Selon la télémétrie d’ESET, Donot Team a toujours ciblé les mêmes entités via des vagues d’courriels d’hameçonnage déclenchées tous les deux à quatre mois. Ces courriels contiennent des documents Microsoft Office malveillants en pièce jointe que les agresseurs utilisent pour déployer leurs malwares.

Pays visés par les récentes campagnes de Donot Team

Pays visés par les récentes campagnes de Donot Team

Il est intéressant de noter que les courriels récupérés et analysés par les chercheurs d’ESET ne présentaient aucun signe d’usurpation d’identité. « Certains courriels ont été envoyés par les mêmes organisations que celles attaquées. Il est possible que les agresseurs aient compromis des comptes de messagerie de certaines de leurs victimes lors de campagnes précédentes, voire le serveur de messagerie utilisé par ces organisations, » explique M. Muñoz.

Dans le dernier article sur le sujet, ESET a analysé deux variantes du framework du malware yty : Gedit et DarkMusical. Les chercheurs d’ESET ont décidé de nommer l’une des variantes DarkMusical en raison des noms que les attaquants ont choisi de donner à leurs fichiers et leurs dossiers : la plupart sont des célébrités occidentales ou des personnages du film High School Musical. Cette variante a été utilisée dans des campagnes visant des organisations militaires au Bangladesh et au Népal.

Pour plus de détails techniques sur les dernières campagnes de Donot Team, lisez l’article « DoNot Go! Do not respawn! » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

(Vus 32 fois, 1 visites Aujourd'hui)