Firebird Backdoor
Групата заплахи, идентифицирана като DoNot Team, е свързана с внедряването на иновативна .NET-базирана задна врата, известна като Firebird. Тази задна вратичка е била използвана за насочване към малък брой жертви, намиращи се в Пакистан и Афганистан.
Изследователите на киберсигурността са установили, че тези атаки са настроени да внедрят програма за изтегляне, наречена CSVtyrei, име, получено от приликите с Vtyrei. Vtyrei, известен също като BREEZESUGAR, обозначава начален етап на полезен товар и вариант на програма за изтегляне, използван преди това от противника за разпространение на злонамерена рамка, наречена RTY.
Съдържание
DoNot Team е активен актьор за заплахи от киберпрестъпления
DoNot Team, известен още като APT-C-35, Origami Elephant и SECTOR02, е група за напреднали постоянни заплахи (APT), за която се смята, че има връзки с индийското правителство. Тази група е активна най-малко от 2016 г. и има вероятност формирането й да е преди този период.
Основната цел на DoNot Team изглежда е шпионаж в подкрепа на интересите на индийското правителство. Изследователите на киберсигурността са наблюдавали множество кампании, проведени от тази група с тази конкретна цел.
Докато първоначалната известна атака на DoNot Team беше насочена към телекомуникационна компания в Норвегия, нейният фокус се върти основно около шпионажа в Южна Азия. Основната им област на интерес е регионът на Кашмир, предвид продължаващия кашмирски конфликт. Този спор продължава дълго време, като Индия и Пакистан претендират за суверенитет над целия регион, въпреки че всеки от тях контролира само част. Дипломатическите усилия за постигане на трайно решение на този въпрос досега се оказват неуспешни.
DoNot Team е насочен основно към организации, свързани с правителства, министерства на външните работи, военни организации и посолства в своите операции.
Firebird Backdoor е нов заплашителен инструмент, внедрен от DoNot Team
Задълбочено проучване разкри наличието на нов .NET-базиран бекдор, наричан Firebird. Тази задна врата се състои от основен зареждащ механизъм и минимум три добавки. Трябва да се отбележи, че всички анализирани проби показват силна защита чрез ConfuserEx, което води до изключително ниска степен на откриване. Освен това определени раздели от кода в рамките на пробите изглеждаха неработещи, което предполага текущи дейности за развитие.
Регионът на Южна Азия е огнище на киберпрестъпни дейности
Наблюдавани са злонамерени дейности, включващи базираното в Пакистан Transparent Tribe, известно още като APT36, насочено към сектори в индийското правителство. Те са използвали актуализиран арсенал от злонамерен софтуер, който включва недокументиран преди това Windows троянски кон на име ElizaRAT.
Transparent Tribe, работещ от 2013 г., се занимава с атаки за събиране на идентификационни данни и разпространение на зловреден софтуер. Те често разпространяват троянизирани инсталатори на индийски правителствени приложения като многофакторно удостоверяване на Kavach. Освен това те са използвали рамки за командване и контрол (C2) с отворен код, като Mythic.
По-специално, Transparent Tribe разшири фокуса си върху Linux системи. Изследователите са идентифицирали ограничен брой файлове за въвеждане на работния плот, които улесняват изпълнението на базирани на Python ELF бинарни файлове, включително GLOBSHELL за ексфилтрация на файлове и PYSHELLFOX за извличане на данни от сесии от браузъра Mozilla Firefox. Базираните на Linux операционни системи са преобладаващи в индийския правителствен сектор.
В допълнение към DoNot Team и Transparent Tribe, друг национален държавен актьор от Азиатско-тихоокеанския регион се появи с особен интерес към Пакистан. Този актьор, известен като Мистериозния слон или APT-K-47, е свързан с кампания за фишинг. Тази кампания разгръща нова задна врата, наречена ORPCBackdoor, която има способността да изпълнява файлове и команди на компютъра на жертвата и да комуникира със злонамерен сървър, за да изпраща или получава файлове и команди.
