Исследователи компании Trellix сообщили о многоэтапной операции кибершпионажа, организованной группировкой DoNot APT, целью которой стало Министерство иностранных дел Италии. Эта атака стала примером расширения интересов группировки за пределы Южной Азии и выхода на европейское дипломатическое пространство.
Специалисты Trellix в докладе от 8 июля отметили, что злоумышленники, связанных с Индией, использовали фальшивую переписку от имени представителей оборонных ведомств Европы. В письмах упоминались дипломатические контакты и визит в Бангладеш, а получателям предлагалось перейти по ссылке на Google Drive, ведущей к вредоносному архиву.
DoNot APT, также известная под названиями APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 и Viceroy Tiger, активно действует с 2016 года. Ранее её активность была сосредоточена преимущественно на странах Южной Азии. Однако последняя атака на посольства и правительственные структуры в Европе свидетельствует об изменении стратегии и расширении зоны интересов группировки.
Хакеры применили поддельное письмо с темой «Визит итальянского военного атташе в Дакку, Бангладеш», отправленное с Gmail-адреса, имитирующего дипломатическую учётную запись. Внутри содержалась ссылка на архив SyClrLtr.rar, размещённый на Google Drive.
При открытии архив запускал вредоносное ПО notflog.exe, которое, в свою очередь, активировало bat-файл djkggosj.bat в системном каталоге %TEMP%. Для обеспечения постоянного доступа к заражённой системе был создан запланированный системный процесс под названием «PerformTaskMaintain», с интервалом в 10 минут. Этот механизм позволял поддерживать устойчивое соединение с управляющим сервером злоумышленников.
По информации Trellix, DoNot APT традиционно использует кастомное вредоносное ПО, среди которого выделяются бэкдоры YTY и GEdit, распространяемые через фишинговые письма и заражённые документы. Эти инструменты обеспечивают сбор данных, наблюдение и длительное присутствие в сетях жертв.