Firebird Backdoor
Trusselsgruppen identificeret som DoNot Team er blevet forbundet med implementeringen af en innovativ .NET-baseret bagdør kendt som Firebird. Denne bagdør er blevet brugt til at målrette et lille antal ofre i Pakistan og Afghanistan.
Cybersikkerhedsforskere har identificeret, at disse angreb er sat op til at implementere en downloader kaldet CSVtyrei, et navn, der stammer fra dets ligheder med Vtyrei. Vtyrei, også kendt som BREEZESUGAR, betegner en indledende nyttelast og downloader-variant, som tidligere blev brugt af modstanderen til at distribuere en ondsindet ramme kaldet RTY.
Indholdsfortegnelse
DoNot Team er en aktiv aktør i trussel mod cyberkriminalitet
DoNot Team, også kendt som APT-C-35, Origami Elephant og SECTOR02, er en Advanced Persistent Threat (APT) gruppe, der menes at have tilknytning til den indiske regering. Denne gruppe har været aktiv siden mindst 2016, og der er en mulighed for, at dens dannelse går forud for denne periode.
Det primære formål med DoNot Team ser ud til at være spionage til støtte for den indiske regerings interesser. Cybersikkerhedsforskere har observeret adskillige kampagner udført af denne gruppe med dette specifikke mål for øje.
Mens DoNot Teams oprindelige kendte angreb var rettet mod et teleselskab i Norge, kredser dets fokus primært om spionage i Sydasien. Deres vigtigste interesseområde er Kashmir-regionen, givet den igangværende Kashmir-konflikt. Denne strid har varet ved i lang tid, hvor både Indien og Pakistan hævder suverænitet over hele regionen, selvom de hver især kun kontrollerer en del. Diplomatiske bestræbelser på at nå frem til en varig løsning på dette spørgsmål har indtil videre vist sig at være mislykket.
DoNot Team retter sig primært mod enheder med tilknytning til regeringer, udenrigsministerier, militære organisationer og ambassader i dets operationer.
Firebird Backdoor er et nyt truende værktøj, der er implementeret af DoNot-teamet
En omfattende undersøgelse har afsløret tilstedeværelsen af en ny .NET-baseret bagdør kaldet Firebird. Denne bagdør består af en primær loader og minimum tre plugins. Navnlig udviste alle analyserede prøver stærk beskyttelse gennem ConfuserEx, hvilket førte til en ekstremt lav detektionshastighed. Derudover virkede visse dele af koden i prøverne ikke-operative, hvilket tyder på igangværende udviklingsaktiviteter.
Regionen i Sydasien er et arnested for cyberkriminalitet
Ondsindede aktiviteter er blevet observeret, der involverer den pakistansk-baserede Transparent Tribe, også kendt som APT36, rettet mod sektorer inden for den indiske regering. De har brugt et opdateret malware-arsenal, som inkluderer en tidligere udokumenteret Windows-trojan ved navn ElizaRAT.
Transparent Tribe, der har været i drift siden 2013, har beskæftiget sig med indsamling af legitimationsoplysninger og angreb på distribution af malware. De distribuerer ofte trojaniserede installatører af indiske regeringsapplikationer som Kavach multi-faktor autentificering. Derudover har de udnyttet open source kommando-og-kontrol (C2) rammer, såsom Mythic.
Transparent Tribe har især udvidet sit fokus til Linux-systemer. Forskere har identificeret et begrænset antal desktop-indgangsfiler, der letter udførelsen af Python-baserede ELF-binære filer, inklusive GLOBSHELL til fileksfiltrering og PYSHELLFOX til at udtrække sessionsdata fra Mozilla Firefox-browseren. Linux-baserede operativsystemer er udbredt i den indiske regeringssektor.
Ud over DoNot Team og Transparent Tribe er en anden nationalstatsaktør fra Asien-Stillehavsregionen dukket op med en særlig interesse i Pakistan. Denne skuespiller, kendt som Mysterious Elephant eller APT-K-47, er blevet sat i forbindelse med en spyd-phishing-kampagne. Denne kampagne implementerer en ny bagdør kaldet ORPCBackdoor, som har evnen til at udføre filer og kommandoer på ofrets computer og kommunikere med en ondsindet server for at sende eller modtage filer og kommandoer.
