Firebird Backdoor

گروه تهدید به نام DoNot Team با استقرار یک درب پشتی مبتکر دات نت به نام Firebird مرتبط بوده است. این درب پشتی برای هدف قرار دادن تعداد کمی از قربانیان واقع در پاکستان و افغانستان استفاده شده است.

محققان امنیت سایبری شناسایی کرده‌اند که این حملات برای استقرار یک دانلودکننده به نام CSVtyrei، نامی که از شباهت‌های آن به Vtyrei گرفته شده، تنظیم شده‌اند. Vtyrei که با نام BREEZESUGAR نیز شناخته می‌شود، یک نوع بارگیری و بارگیری مرحله اولیه را نشان می‌دهد که قبلاً توسط دشمن برای توزیع یک چارچوب مخرب به نام RTY استفاده می‌شد.

DoNot Team یک بازیگر فعال تهدیدات سایبری است

DoNot Team که با نام‌های APT-C-35، Origami Elephant و SECTOR02 نیز شناخته می‌شود، یک گروه تهدید مداوم پیشرفته (APT) است که گمان می‌رود وابستگی به دولت هند دارد. این گروه حداقل از سال 2016 فعالیت خود را آغاز کرده است و احتمال تشکیل آن قبل از این دوره وجود دارد.

به نظر می رسد هدف اصلی DoNot Team جاسوسی در حمایت از منافع دولت هند باشد. محققان امنیت سایبری کمپین های متعددی را مشاهده کرده اند که توسط این گروه با این هدف خاص انجام شده است.

در حالی که اولین حمله شناخته شده DoNot Team یک شرکت مخابراتی در نروژ را هدف قرار داد، تمرکز آن در درجه اول حول جاسوسی در جنوب آسیا است. با توجه به درگیری کشمیر، منطقه اصلی مورد علاقه آنها منطقه کشمیر است. این مناقشه برای مدت طولانی ادامه داشته است و هند و پاکستان هر دو مدعی حاکمیت بر کل منطقه هستند، حتی اگر هر کدام تنها بخشی را کنترل کنند. تلاش های دیپلماتیک برای دستیابی به راه حلی پایدار برای این موضوع تاکنون ناموفق بوده است.

DoNot Team عمدتاً نهادهای مرتبط با دولت ها، وزارتخانه های امور خارجه، سازمان های نظامی و سفارتخانه ها را در عملیات خود هدف قرار می دهد.

Firebird Backdoor یک ابزار تهدید کننده جدید است که توسط تیم DoNot به کار گرفته شده است

یک بررسی گسترده وجود یک درپشتی جدید مبتنی بر دات نت به نام Firebird را نشان داد. این درب پشتی از یک لودر اصلی و حداقل سه پلاگین تشکیل شده است. قابل ذکر است، تمام نمونه های آنالیز شده از طریق ConfuserEx محافظت قوی نشان دادند که منجر به نرخ تشخیص بسیار پایین شد. علاوه بر این، بخش‌های خاصی از کد در نمونه‌ها غیرعملیاتی به نظر می‌رسند، که نشان‌دهنده فعالیت‌های توسعه مداوم است.

منطقه جنوب آسیا کانونی برای فعالیت های جرایم سایبری است

فعالیت های مخربی مشاهده شده است که شامل قبیله شفاف مستقر در پاکستان است که به نام APT36 نیز شناخته می شود و بخش هایی در داخل دولت هند را هدف قرار می دهد. آنها از یک زرادخانه بدافزار به روز شده استفاده کرده اند که شامل یک تروجان ویندوزی که قبلاً مستند نشده به نام ElizaRAT است.

Transparent Tribe که از سال 2013 فعال است، درگیر برداشت اعتبار و حملات توزیع بدافزار بوده است. آنها اغلب نصب کننده های تروجان شده برنامه های کاربردی دولت هند مانند احراز هویت چند عاملی Kavach را توزیع می کنند. علاوه بر این، آنها از چارچوب های فرمان و کنترل منبع باز (C2) مانند Mythic استفاده کرده اند.

قابل ذکر است که Transparent Tribe تمرکز خود را بر روی سیستم های لینوکس گسترش داده است. محققان تعداد محدودی فایل ورودی دسکتاپ را شناسایی کرده‌اند که اجرای باینری‌های ELF مبتنی بر پایتون را تسهیل می‌کنند، از جمله GLOBSHELL برای استخراج فایل و PYSHELLFOX برای استخراج داده‌های جلسه از مرورگر موزیلا فایرفاکس. سیستم عامل های مبتنی بر لینوکس در بخش دولتی هند رایج هستند.

علاوه بر DoNot Team و Transparent Tribe، یکی دیگر از بازیگران دولت ملت از منطقه آسیا و اقیانوسیه با علاقه خاصی به پاکستان ظهور کرده است. این بازیگر که با نام فیل اسرارآمیز یا APT-K-47 شناخته می شود، با یک کمپین فیشینگ نیزه ای مرتبط بوده است. این کمپین یک Backdoor جدید به نام ORPCBackdoor را مستقر می کند که قابلیت اجرای فایل ها و دستورات را بر روی رایانه قربانی و برقراری ارتباط با سرور مخرب برای ارسال یا دریافت فایل ها و دستورات دارد.