به گزارش کارگروه حملات سایبری سایبربان؛ گروه دونات تیم که از سال 2016 فعالیت دارد، بر روی سازمان های دولتی و نظامی، وزارت های امور خارجه و سفارتخانه های هند، پاکستان، سریلانکا، بنگلادش و دیگر کشورهای جنوب آسیا متمرکز است.
در اکتبر 2021 گزارشی از سوی سازمان عفو بین الملل منتشر شد مبنی بر اینکه گروه دونات تیم (APT-C-35) با استفاده از اپلیکیشن های اندرویدی (در نقاب برنامه های چت ایمن) و ایمیل های آلوده یک مدافع حقوق بشر به نام توگویی را مورد هدف قرار داده است.
زنجیره حملات این گروه با ایمیل های فیشینگ هدف داری آغاز می شود که شامل ضمایم مخرب است. مورفیسِک لبز زنجیره آلودگی جدیدی از دونات را شناسایی کرده است که ماژول های جدیدی را به فریم ورک ویندوز اضافه می کند.
این گروه حالا چارچوب یا همان فریم ورک بدافزاری جاکای ویندوز خود را ارتقاء داده است. به عنوان مثال دونات ماژول سرقت کننده مرورگر خود را ارتقاء داده است. این نسخه جدید ماژول بر خلاف نسخه قبل از 4 فایل اجرایی اضافی استفاده می کند. هر کدام از آن ها این امکان را به عاملین سایبری می دهند تا اطلاعات موجود در گوگل کروم یا موزیلا فایرفاکس را به سرقت ببرند.
این گروه در آخرین حمله خود، با استفاده از اسناد RTF پیام های خود را به کاربران ارسال کرده است. آن ها کاربران را به سوی فعالسازی ماکروهایشان هدایت می کنند و آن ها را فریب می دهند. هنگامی که ماکروها فعال می شوند بخشی از شِل کد در مموری تزریق می شود و در نهایت یک شل کد مرحله دوم را از سرور کنترل و فرمان دانلود واجرا می کند.
شل کد مرحله دوم انتقال دهنده فایل اصلی DLL از یک سرور متفاوت دیگر است و مسئولیت اعلام موفقیت آمیز بودن زنجیره آلودگی به سرور کنترل و فرمان را نیز بر عهده دارد. این شل کد سپس اطلاعات سیستم دستگاه آلوده را به سرور ارسال می کند و DLL مرحله بعد یعنی ماژول دانلود کننده “WavemsMp.dll” را دانلود می کند. هدف اصلی این مرحله، اجرا و دانلود ماژول هایی است که برای سرقت اطلاعات کاربران مورد استفاده قرار دارد.
دفاع در برابر گروه های هکری مانند دونات نیازمند استفاده از استراتژی عمیقی است که از لایه های مختلف امنیتی بهره مند می باشد.
