详细内容或原文请订阅后点击阅览
Donot APT正在扩大针对欧洲外交部的范围
Donot Apt可能是与印度有联系的网络增长群集团,以Loptikmod恶意软件为目标。 Donot APT集团可能与印度有联系,已扩大其业务,并用新的恶意软件(称为Loptikmod)瞄准了欧洲外交部。自2016年以来,Donot团队(也称为APT-C-35和折纸大象)一直活跃,重点是政府实体,外国[…]
来源:Security Affairs _恶意软件Donot APT正在扩大针对欧洲外交部的范围
Donot Apt可能是与印度有联系的网络增长群集团,以Loptikmod恶意软件为目标。
可能与印度有关的Donot APT集团已经扩大了其业务,并用新的恶意软件(称为Loptikmod)将其针对欧洲外国部门。
donot apt自2016年以来,Donot团队(也称为APT-C-35和折纸大象)一直活跃,重点关注南亚和欧洲的政府实体,外交部,国防组织和非政府组织。
也称为APT-C-35和折纸大象)自从 APT-C-35Donot APT通过网络钓鱼使用自定义Windows恶意软件进行间谍活动,从而可以长期访问和数据盗窃。在网络安全公司Trellix分析的最新活动中,网络间谍使用Loptikmod恶意软件从受感染的系统中窃取敏感数据。
攻击者使用了冒充辩护官员的矛式送钓鱼电子邮件来针对欧洲外交实体,并通过密码保护的RAR文件提供Loptikmod恶意软件。
网络钓鱼电子邮件使用HTML和UTF-8看起来合法,包括适当的特殊字符。它链接到Google Drive上受密码保护的RAR文件。该档案包含一个带有PDF图标的伪装可执行(notflog.exe),以诱使用户运行恶意软件。
打开后,使用计划的任务建立了可执行的可执行执行力,并连接到C2服务器以发送系统信息,接收命令,下载其他有效负载。恶意软件使用二进制字符串混淆和与Donot APT相关的技术。
该运动反映了该组织使用复杂的感染链和欺骗策略的间谍活动。
阅读Trellix的报告loadLibrary
getProcaddress
C2服务器在分析过程中无效,以防止对恶意软件的行为进行全面观察。
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook mastodonPierluigi Paganini
SecurityFaffairs