Злоумышленники DoNot Team (известные как APT-C-35, Mint Tempest, Origami Elephant) с подозреваемыми связями с Индией скомпрометировали министерство иностранных дел европейской страны. Атака началась с фишинговых писем, отправленных через Gmail от имени оборонных чиновников. Тема письма ссылалась на визит итальянского военного атташе в Дакку (Бангладеш), а специальное форматирование UTF-8 корректно отображало символ «é» в слове «Attaché» для правдоподобности.
В письмах содержалась ссылка на Google Drive, ведущая к RAR-архиву. Внутри архива находился исполняемый файл (.exe), замаскированный под PDF-документ. При открытии файла активировался троянец LoptikMod — фирменное ПО группы, используемое с 2018 года.
LoptikMod обеспечивает долгосрочный доступ к системе: создает задания в планировщике задач, подключается к командному серверу (C2), передает системные данные, получает команды, загружает дополнительные модули и ворует информацию. Для усложнения анализа он применяет анти-VM-техники, ASCII-обфускацию и блокирует запуск дублирующих процессов.
Сервер C2, задействованный в этой атаке, сейчас неактивен. Эксперты Trellix Advanced Research Center (Аникет Чоукде, Апарна Арипирала, Алиша Кадам, Акхил Редди, Фам Зуи Фук, Алекс Ланштайн) не смогли определить точные команды или украденные данные из-за отключения инфраструктуры.
Это первое задокументированное применение LoptikMod против крупного европейского правительственного учреждения. Группа DoNot Team, активная с 2016 года, традиционно атаковала цели в Южной Азии (Пакстан, Шри-Ланка, Бангладеш), включая МИД, военные ведомства и НПО. Сейчас их фокус сместился на дипломатическую разведку в Европе.
Ранее группу связывали с атакой на норвежскую телекоммуникационную компанию (2016) и жертвами в Великобритании. Расширение географии указывает на усиление возможностей DoNot Team и их интерес к данным о взаимодействии Запада с Южной Азией.
Изображение носит иллюстративный характер
В письмах содержалась ссылка на Google Drive, ведущая к RAR-архиву. Внутри архива находился исполняемый файл (.exe), замаскированный под PDF-документ. При открытии файла активировался троянец LoptikMod — фирменное ПО группы, используемое с 2018 года.
LoptikMod обеспечивает долгосрочный доступ к системе: создает задания в планировщике задач, подключается к командному серверу (C2), передает системные данные, получает команды, загружает дополнительные модули и ворует информацию. Для усложнения анализа он применяет анти-VM-техники, ASCII-обфускацию и блокирует запуск дублирующих процессов.
Сервер C2, задействованный в этой атаке, сейчас неактивен. Эксперты Trellix Advanced Research Center (Аникет Чоукде, Апарна Арипирала, Алиша Кадам, Акхил Редди, Фам Зуи Фук, Алекс Ланштайн) не смогли определить точные команды или украденные данные из-за отключения инфраструктуры.
Это первое задокументированное применение LoptikMod против крупного европейского правительственного учреждения. Группа DoNot Team, активная с 2016 года, традиционно атаковала цели в Южной Азии (Пакстан, Шри-Ланка, Бангладеш), включая МИД, военные ведомства и НПО. Сейчас их фокус сместился на дипломатическую разведку в Европе.
Ранее группу связывали с атакой на норвежскую телекоммуникационную компанию (2016) и жертвами в Великобритании. Расширение географии указывает на усиление возможностей DoNot Team и их интерес к данным о взаимодействии Запада с Южной Азией.
