Firebird Backdoor

ارتبطت مجموعة التهديد التي تم تحديدها باسم DoNot Team بنشر باب خلفي مبتكر قائم على .NET يُعرف باسم Firebird. تم استخدام هذا الباب الخلفي لاستهداف عدد صغير من الضحايا الموجودين في باكستان وأفغانستان.

وقد حدد باحثو الأمن السيبراني أن هذه الهجمات تم إعدادها لنشر أداة تنزيل تسمى CSVtyrei، وهو اسم مشتق من أوجه التشابه مع Vtyrei. يشير Vtyrei، المعروف أيضًا باسم BREEZESUGAR، إلى متغير الحمولة والتنزيل في المرحلة الأولية الذي استخدمه الخصم سابقًا لتوزيع إطار عمل ضار يسمى RTY.

فريق DoNot هو ممثل نشط في مجال تهديد الجرائم الإلكترونية

DoNot Team، والمعروفة أيضًا باسم APT-C-35 وOrigami Elephant وSECTOR02، هي مجموعة للتهديدات المتقدمة المستمرة (APT) يُعتقد أن لها ارتباطات بالحكومة الهندية. وتنشط هذه المجموعة منذ عام 2016 على الأقل، وهناك احتمال أن يكون تشكيلها يسبق هذه الفترة.

يبدو أن الهدف الأساسي لفريق DoNot هو التجسس لدعم مصالح الحكومة الهندية. لاحظ باحثو الأمن السيبراني حملات متعددة نفذتها هذه المجموعة مع وضع هذا الهدف المحدد في الاعتبار.

في حين أن الهجوم الأولي المعروف لـ DoNot Team استهدف شركة اتصالات في النرويج، إلا أن تركيزه يتمحور في المقام الأول حول التجسس في جنوب آسيا. مجال اهتمامهم الرئيسي هو منطقة كشمير، بالنظر إلى صراع كشمير المستمر. وقد استمر هذا النزاع لفترة طويلة، حيث تطالب كل من الهند وباكستان بالسيادة على المنطقة بالكامل، رغم أن كلاً منهما لا تسيطر إلا على جزء منها. وقد أثبتت الجهود الدبلوماسية للتوصل إلى حل دائم لهذه القضية عدم نجاحها حتى الآن.

يستهدف فريق DoNot في المقام الأول الكيانات المرتبطة بالحكومات ووزارات الخارجية والمنظمات العسكرية والسفارات في عملياته.

Firebird Backdoor هي أداة تهديد جديدة تم نشرها بواسطة فريق DoNot

كشف فحص شامل عن وجود باب خلفي جديد قائم على .NET يُشار إليه باسم Firebird. يتكون هذا الباب الخلفي من مُحمل أساسي وثلاثة مكونات إضافية على الأقل. والجدير بالذكر أن جميع العينات التي تم تحليلها أظهرت حماية قوية من خلال ConfuserEx، مما أدى إلى معدل اكتشاف منخفض للغاية. بالإضافة إلى ذلك، ظهرت أقسام معينة من التعليمات البرمجية داخل العينات غير قابلة للتشغيل، مما يشير إلى أنشطة التطوير المستمرة.

منطقة جنوب آسيا هي مرتع لأنشطة الجرائم الإلكترونية

وقد لوحظت أنشطة ضارة تتعلق بقبيلة الشفافية الباكستانية، والمعروفة أيضًا باسم APT36، والتي تستهدف قطاعات داخل الحكومة الهندية. لقد استخدموا ترسانة محدثة من البرامج الضارة، والتي تتضمن حصان طروادة غير الموثق مسبقًا لنظام التشغيل Windows والذي يُسمى ElizaRAT.

شاركت شركة Transparent Tribe، التي تعمل منذ عام 2013، في جمع بيانات الاعتماد وهجمات توزيع البرامج الضارة. غالبًا ما يقومون بتوزيع أدوات تثبيت طروادة لتطبيقات الحكومة الهندية مثل مصادقة Kavach متعددة العوامل. بالإضافة إلى ذلك، فقد استفادوا من أطر القيادة والتحكم (C2) مفتوحة المصدر، مثل Mythic.

والجدير بالذكر أن شركة Transparent Tribe وسعت نطاق تركيزها ليشمل أنظمة Linux. حدد الباحثون عددًا محدودًا من ملفات إدخال سطح المكتب التي تسهل تنفيذ ثنائيات ELF المستندة إلى Python، بما في ذلك GLOBSHELL لاستخراج الملفات وPYSHELLFOX لاستخراج بيانات الجلسة من متصفح Mozilla Firefox. أنظمة التشغيل المعتمدة على Linux منتشرة في القطاع الحكومي الهندي.

وبالإضافة إلى فريق DoNot وTransparent Tribe، ظهرت جهة فاعلة أخرى من منطقة آسيا والمحيط الهادئ ولها اهتمام خاص بباكستان. تم ربط هذا الممثل، المعروف باسم Mysterious Elephant أو APT-K-47، بحملة تصيد احتيالي. تنشر هذه الحملة بابًا خلفيًا جديدًا يسمى ORPCBackdoor، والذي يتمتع بالقدرة على تنفيذ الملفات والأوامر على كمبيوتر الضحية والتواصل مع خادم ضار لإرسال أو استقبال الملفات والأوامر.