Firebird Backdoor
Η ομάδα απειλών που προσδιορίζεται ως DoNot Team έχει συσχετιστεί με την ανάπτυξη μιας καινοτόμου κερκόπορτας που βασίζεται σε .NET, γνωστή ως Firebird. Αυτή η κερκόπορτα έχει χρησιμοποιηθεί για να στοχεύσει έναν μικρό αριθμό θυμάτων που βρίσκονται στο Πακιστάν και το Αφγανιστάν.
Οι ερευνητές της κυβερνοασφάλειας έχουν εντοπίσει ότι αυτές οι επιθέσεις έχουν ρυθμιστεί για να αναπτύξουν ένα πρόγραμμα λήψης που ονομάζεται CSVtyrei, ένα όνομα που προέρχεται από τις ομοιότητες του με το Vtyrei. Το Vtyrei, επίσης γνωστό ως BREEZESUGAR, υποδηλώνει μια παραλλαγή ωφέλιμου φορτίου και προγράμματος λήψης αρχικού σταδίου που χρησιμοποιήθηκε προηγουμένως από τον αντίπαλο για τη διανομή ενός κακόβουλου πλαισίου που ονομάζεται RTY.
Πίνακας περιεχομένων
Το DoNot Team είναι ενεργός ηθοποιός απειλών στον κυβερνοχώρο
Το DoNot Team, γνωστό και ως APT-C-35, Origami Elephant και SECTOR02, είναι μια ομάδα Advanced Persistent Threat (APT) που πιστεύεται ότι έχει σχέσεις με την ινδική κυβέρνηση. Η ομάδα αυτή δραστηριοποιείται τουλάχιστον από το 2016 και υπάρχει πιθανότητα η συγκρότησή της να προηγείται αυτής της περιόδου.
Ο πρωταρχικός στόχος του DoNot Team φαίνεται να είναι η κατασκοπεία για την υποστήριξη των συμφερόντων της ινδικής κυβέρνησης. Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν παρατηρήσει πολλές εκστρατείες που πραγματοποιούνται από αυτήν την ομάδα με αυτόν τον συγκεκριμένο στόχο.
Ενώ η αρχική γνωστή επίθεση του DoNot Team είχε στόχο μια εταιρεία τηλεπικοινωνιών στη Νορβηγία, η εστίασή της περιστρέφεται κυρίως γύρω από την κατασκοπεία στη Νότια Ασία. Η κύρια περιοχή ενδιαφέροντός τους είναι η περιοχή του Κασμίρ, δεδομένης της συνεχιζόμενης σύγκρουσης στο Κασμίρ. Αυτή η διαμάχη συνεχίστηκε για μεγάλο χρονικό διάστημα, με την Ινδία και το Πακιστάν να διεκδικούν την κυριαρχία σε ολόκληρη την περιοχή, παρόλο που η καθεμία ελέγχει μόνο ένα μέρος. Οι διπλωματικές προσπάθειες για την επίτευξη μόνιμης επίλυσης αυτού του ζητήματος έχουν μέχρι στιγμής αποδειχθεί ανεπιτυχείς.
Το DoNot Team στοχεύει κυρίως οντότητες που σχετίζονται με κυβερνήσεις, υπουργεία Εξωτερικών, στρατιωτικούς οργανισμούς και πρεσβείες στις δραστηριότητές του.
Το Firebird Backdoor είναι ένα νέο απειλητικό εργαλείο που αναπτύχθηκε από την ομάδα DoNot
Μια εκτενής εξέταση αποκάλυψε την παρουσία μιας νέας κερκόπορτας που βασίζεται σε .NET και αναφέρεται ως Firebird. Αυτό το backdoor αποτελείται από έναν κύριο φορτωτή και τουλάχιστον τρία πρόσθετα. Συγκεκριμένα, όλα τα δείγματα που αναλύθηκαν εμφάνισαν ισχυρή προστασία μέσω του ConfuserEx, οδηγώντας σε εξαιρετικά χαμηλό ποσοστό ανίχνευσης. Επιπλέον, ορισμένα τμήματα του κώδικα μέσα στα δείγματα φάνηκαν μη λειτουργικά, υποδηλώνοντας συνεχείς δραστηριότητες ανάπτυξης.
Η περιοχή της Νότιας Ασίας αποτελεί εστία για δραστηριότητες εγκλήματος στον κυβερνοχώρο
Έχουν παρατηρηθεί κακόβουλες δραστηριότητες στις οποίες εμπλέκεται η Transparent Tribe με έδρα το Πακιστάν, γνωστή και ως APT36, με στόχο τομείς εντός της ινδικής κυβέρνησης. Έχουν χρησιμοποιήσει ένα ενημερωμένο οπλοστάσιο κακόβουλου λογισμικού, το οποίο περιλαμβάνει έναν προηγουμένως μη τεκμηριωμένο trojan των Windows που ονομάζεται ElizaRAT.
Η Transparent Tribe, που λειτουργεί από το 2013, έχει εμπλακεί σε επιθέσεις συλλογής διαπιστευτηρίων και διανομής κακόβουλου λογισμικού. Συχνά διανέμουν trojanized προγράμματα εγκατάστασης εφαρμογών της ινδικής κυβέρνησης όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων Kavach. Επιπλέον, έχουν αξιοποιήσει πλαίσια εντολών και ελέγχου (C2) ανοιχτού κώδικα, όπως το Mythic.
Συγκεκριμένα, η Transparent Tribe έχει επεκτείνει την εστίασή της σε συστήματα Linux. Οι ερευνητές εντόπισαν περιορισμένο αριθμό αρχείων καταχώρισης επιφάνειας εργασίας που διευκολύνουν την εκτέλεση δυαδικών αρχείων ELF που βασίζονται σε Python, συμπεριλαμβανομένου του GLOBSHELL για την εξαγωγή αρχείων και του PYSHELLFOX για την εξαγωγή δεδομένων περιόδου λειτουργίας από το πρόγραμμα περιήγησης Mozilla Firefox. Τα λειτουργικά συστήματα που βασίζονται σε Linux είναι διαδεδομένα στον κυβερνητικό τομέα της Ινδίας.
Εκτός από το DoNot Team και το Transparent Tribe, ένας άλλος παράγοντας έθνους-κράτους από την περιοχή Ασίας-Ειρηνικού εμφανίστηκε με ιδιαίτερο ενδιαφέρον για το Πακιστάν. Αυτός ο ηθοποιός, γνωστός ως Mysterious Elephant ή APT-K-47, έχει συνδεθεί με μια καμπάνια spear-phishing. Αυτή η καμπάνια αναπτύσσει μια νέα κερκόπορτα που ονομάζεται ORPCBackdoor, η οποία έχει τη δυνατότητα να εκτελεί αρχεία και εντολές στον υπολογιστή του θύματος και να επικοινωνεί με έναν κακόβουλο διακομιστή για την αποστολή ή λήψη αρχείων και εντολών.
