Firebird Backdoor
DoNot Teamina määratletud ohugruppi on seostatud uuendusliku .NET-põhise tagaukse, mida tuntakse nimega Firebird, juurutamisega. Seda tagaust on kasutatud väikese arvu ohvrite sihtimiseks Pakistanis ja Afganistanis.
Küberturbeteadlased on tuvastanud, et need rünnakud on loodud allalaadija CSVtyrei juurutamiseks, mille nimi tuleneb selle sarnasustest Vtyreiga. Vtyrei, tuntud ka kui BREEZESUGAR, tähistab algfaasi kasulikku koormust ja allalaadija varianti, mida vastane varem kasutas pahatahtliku raamistiku nimega RTY levitamiseks.
Sisukord
DoNot Team on aktiivne küberkuritegevuse ohustaja
DoNot Team, tuntud ka kui APT-C-35, Origami Elephant ja SECTOR02, on Advanced Persistent Threat (APT) rühmitus, millel arvatakse olevat sidemed India valitsusega. See rühmitus on tegutsenud vähemalt 2016. aastast ja on võimalus, et selle moodustamine on enne seda perioodi.
DoNot Teami peamine eesmärk näib olevat spionaaž India valitsuse huvide toetamiseks. Küberjulgeolekuteadlased on jälginud mitmeid selle grupi kampaaniaid, pidades silmas seda konkreetset eesmärki.
Kui DoNot Teami esialgne teadaolev rünnak oli suunatud telekommunikatsiooniettevõttele Norras, keskendub see peamiselt spionaažile Lõuna-Aasias. Nende peamine huviala on Kashmiri piirkond, arvestades käimasolevat Kashmiri konflikti. See vaidlus on kestnud pikka aega, nii India kui ka Pakistan nõudsid suveräänsust kogu piirkonna üle, kuigi mõlemad kontrollivad ainult ühte osa. Diplomaatilised jõupingutused sellele küsimusele püsiva lahenduse leidmiseks on seni osutunud edutuks.
DoNot Team on suunatud peamiselt valitsuste, välisministeeriumide, sõjaliste organisatsioonide ja saatkondadega seotud üksustele.
Firebird Backdoor on DoNoti meeskonna poolt kasutusele võetud uus ähvardamistööriist
Põhjalik uurimine on paljastanud uue .NET-põhise tagaukse, mida nimetatakse Firebirdiks. See tagauks koosneb esmasest laadijast ja vähemalt kolmest pistikprogrammist. Eelkõige näitasid kõik analüüsitud proovid tugevat kaitset ConfuserExi kaudu, mille tulemuseks oli äärmiselt madal avastamismäär. Lisaks paistsid proovides olevad koodi teatud jaotised mittetoimivad, mis viitab käimasolevale arendustegevusele.
Lõuna-Aasia piirkond on küberkuritegevuse leviala
Täheldatud on Pakistanis asuva Transparent Tribe'i (tuntud ka kui APT36) pahatahtlikku tegevust, mis on suunatud India valitsuse sektoritele. Nad on kasutanud värskendatud pahavara arsenali, mis sisaldab varem dokumentideta Windowsi trooja nimega ElizaRAT.
Alates 2013. aastast tegutsev Transparent Tribe on tegelenud mandaatide kogumise ja pahavara levitamise rünnakutega. Nad levitavad sageli India valitsusrakenduste, näiteks Kavachi mitmefaktorilise autentimise, troojastatud installijaid. Lisaks on nad kasutanud avatud lähtekoodiga käsu-ja-juhtimise (C2) raamistikke, nagu Mythic.
Eelkõige on Transparent Tribe laiendanud oma tähelepanu Linuxi süsteemidele. Teadlased on tuvastanud piiratud arvu töölaua sisestusfaile, mis hõlbustavad Pythoni-põhiste ELF-i kahendfailide käivitamist, sealhulgas GLOBSHELL failide väljafiltreerimiseks ja PYSHELLFOX seansiandmete hankimiseks Mozilla Firefoxi brauserist. Linuxi-põhised operatsioonisüsteemid on India valitsussektoris levinud.
Lisaks DoNot Teamile ja Transparent Tribe'ile on Aasia ja Vaikse ookeani piirkonnast esile kerkinud veel üks rahvusriigis tegutseja, kes tunneb erilist huvi Pakistani vastu. Seda näitlejat, tuntud kui Saladuslik elevant või APT-K-47, on seostatud oda andmepüügikampaaniaga. See kampaania kasutab uudset tagaust nimega ORPBackdoor, mis suudab ohvri arvutis täita faile ja käske ning suhelda pahatahtliku serveriga, et saata või vastu võtta faile ja käske.
