ESET araştırmacıları, makûs bir üne sahip APT kümesi olan Donot Team’in son zamanlardaki taarruzlarını ve yeni tehditlerini gün yüzüne çıkardı. Araştırma kapsamında ESET, Donot Team’i 2020 Eylül ayı ile 2021 Ekim ayı ortasında bir yıldan daha uzun bir müddet izledi.

ESET telemetrisine nazaran APT kümesi Bangladeş, Sri Lanka, Pakistan ve Nepal üzere ülkelerin bulunduğu Güney Asya başta olmak üzere az sayıda maksada odaklanıyor. Bu ülkelerin Orta Doğu, Avrupa, Kuzey Amerika ve Latin Amerika üzere bölgelerde yer alan elçiliklerini de maksat alan taarruzlar da gözlemleniyor. Siber casusluğa yönelik olan bu hücumlar hükümet kuruluşlarını, askeri kurumları, dışişleri bakanlıklarını ve elçilikleri amaç alıyor.

2016’dan beri faaliyette olan Donot Team, Windows ve Android sistemlere yönelik makûs gayeli yazılımlar yoluyla Güney Asya’daki kuruluşları ve bireyleri gaye aldığı bilinen bir tehdit aktörüdür. Amnesty International tarafından geçtiğimiz günlerde düzenlenen bir raporda kümenin berbat emelli yazılımı, casus yazılım satması yahut bölgedeki hükümetlere kiralık bilgisayar korsanı hizmeti sunması olası olan Hintli bir siber güvenlik şirketi ile ilişkilendirilmiştir.

Grubun etkinlikleriyle ilgili soruşturmayı yöneten ESET araştırmacısı Facundo Muñoz bu mevzuda şunları söyledi: “Donot Team’in etkinliklerini yakından takip ediyoruz ve kümenin yty makûs gayeli yazılım çerçevesinden türeyen Windows hedefli kötü emelli yazılıma sahip çeşitli kampanyaların izini sürüyoruz.

“yty” berbat hedefli yazılım çerçevesinin temel gayesi, bilgileri toplamak ve sızdırmaktır. Berbat maksatlı yazılım çerçevesi, Donot Team’in araç setinin daha fazla bileşenini indirmek ve yürütmek üzere kullanılan, minimal fonksiyona sahip bir art kapı indiren birtakım modüller barındırır. Bu zincir, evrak uzantısına ve belgenin oluşturulma yılına dayalı belge toplayıcılar, ekran kaydediciler, tuş kaydediciler ve çok daha fazlasını içerir.

ESET telemetrisine nazaran Donot Team, her iki ila dört ayda bir maksat odaklı oltalama e-postalarıyla birebir kurumları daima olarak maksat alıyor. Gaye odaklı oltalama e-postalarda, saldırganların makûs emelli yazılımı dağıtmak üzere kullandığı berbat maksatlı Microsoft Office evrakları bulunur.

İlginç bir formda ESET araştırmacılarının geri çağırmayı ve tahlil etmeyi başardığı e-postalarda rastgele bir dolandırıcılık izi bulunmadı. Muñoz bu mevzuda şöyle diyor: “Bazı e-postalar, atağa uğrayan, tıpkı kuruluş tarafından gönderilmiştir. Saldırganların daha evvelki kampanyalarda kimi kurbanların e-posta hesaplarına yahut bu kuruluşların e-posta sunucusuna sızmış olması olasıdır.”

En son blog yazısında ESET, bu yty makûs maksatlı yazılım çerçevesinin iki varyantını tahlil etti: Gedit ve DarkMusical. ESET araştırmacıları, varyantlarından birine DarkMusical ismini verme kararı aldı zira saldırganların evrakları ve klasörleri için seçtikleri isimlerin birçoğu batılı ünlülerden yahut High School Musical sinemasındaki karakterlerden ilham alıyor. Bu varyant, Bangladeş ve Nepal’deki askeri kuruluşları amaç alan kampanyalarda kullanıldı.