کمیته رکن چهارم – گروه هکری دونات تیم یا همان APT-C-۳۵ قابلیتهای مخرب جدیدی را به فریم ورک ویندوز خود اضافه کرده است.
هکرهای دونات تیم که از سال ۲۰۱۶ فعالیت دارد بر روی سازمانهای دولتی و نظامی، وزارتهای امور خارجه و سفارتخانههای هند، پاکستان، سریلانکا، بنگلادش و دیگر کشورهای جنوب آسیا متمرکز است.
در اکتبر ۲۰۲۱، گزارشی از سوی سازمان عفو بینالملل منتشر شد مبنی بر اینکه گروه دونات تیم (APT-C-۳۵) با استفاده از اپلیکیشنهای اندرویدی (در نقاب برنامههای چت ایمن) و ایمیلهای آلوده یک مدافع حقوق بشر به نام توگویی را هدف گرفتهاست.
زنجیره حملات این گروه با ایمیلهای فیشینگ هدفداری آغاز میشود که شامل ضمایم مخرب است. مورفیسِک لبز زنجیره آلودگی جدیدی از دونات را شناسایی کرده است که ماژولهای جدیدی را به فریمورک ویندوز اضافه میکند.
این گروه حالا چارچوب یا همان فریم ورک بدافزاری جاکای ویندوز خود را ارتقا داده است. به عنوان مثال دونات ماژول سرقتکننده مرورگر خود را ارتقا داده است. این نسخه جدید ماژول بر خلاف نسخه قبل از ۴ فایل اجرایی اضافی استفاده میکند. هر کدام از آنها این امکان را به عاملان سایبری میدهند تا اطلاعات موجود در گوگل کروم یا موزیلا فایرفاکس را به سرقت ببرند.
این گروه در آخرین حمله خود، با استفاده از اسناد RTF پیامهای خود را به کاربران ارسال کرده است. آنها کاربران را به سوی فعالسازی ماکروهایشان هدایت میکنند و آنها را فریب میدهند. هنگامیکه ماکروها فعال میشوند، بخشی از شِل کد در مموری تزریق میشود و در نهایت یک شل کد مرحله دوم را از سرور کنترل و فرمان دانلود واجرا میکند.
شل کد مرحله دوم انتقال دهنده فایل اصلی DLL از یک سرور متفاوت دیگر است و مسئولیت اعلام موفقیتآمیز بودن زنجیره آلودگی به سرور کنترل و فرمان را نیز برعهده دارد. این شل کد سپس اطلاعات سیستم دستگاه آلوده را به سرور ارسال میکند و DLL مرحله بعد یعنی ماژول دانلود کننده “WavemsMp.dll” را دانلود میکند. هدف اصلی این مرحله، اجرا و دانلود ماژولهایی است که برای سرقت اطلاعات کاربران مورد استفاده قرار دارد.
دفاع در برابر گروههای هکری مانند دونات نیازمند استفاده از استراتژی عمیقی است که از لایههای مختلف امنیتی بهرهمند باشد.
منبع : سایبربان
