Firebird Backdoor
گروه تهدید به نام DoNot Team با استقرار یک درب پشتی مبتکر دات نت به نام Firebird مرتبط بوده است. این درب پشتی برای هدف قرار دادن تعداد کمی از قربانیان واقع در پاکستان و افغانستان استفاده شده است.
محققان امنیت سایبری شناسایی کردهاند که این حملات برای استقرار یک دانلودکننده به نام CSVtyrei، نامی که از شباهتهای آن به Vtyrei گرفته شده، تنظیم شدهاند. Vtyrei که با نام BREEZESUGAR نیز شناخته میشود، یک نوع بارگیری و بارگیری مرحله اولیه را نشان میدهد که قبلاً توسط دشمن برای توزیع یک چارچوب مخرب به نام RTY استفاده میشد.
فهرست مطالب
DoNot Team یک بازیگر فعال تهدیدات سایبری است
DoNot Team که با نامهای APT-C-35، Origami Elephant و SECTOR02 نیز شناخته میشود، یک گروه تهدید مداوم پیشرفته (APT) است که گمان میرود وابستگی به دولت هند دارد. این گروه حداقل از سال 2016 فعالیت خود را آغاز کرده است و احتمال تشکیل آن قبل از این دوره وجود دارد.
به نظر می رسد هدف اصلی DoNot Team جاسوسی در حمایت از منافع دولت هند باشد. محققان امنیت سایبری کمپین های متعددی را مشاهده کرده اند که توسط این گروه با این هدف خاص انجام شده است.
در حالی که اولین حمله شناخته شده DoNot Team یک شرکت مخابراتی در نروژ را هدف قرار داد، تمرکز آن در درجه اول حول جاسوسی در جنوب آسیا است. با توجه به درگیری کشمیر، منطقه اصلی مورد علاقه آنها منطقه کشمیر است. این مناقشه برای مدت طولانی ادامه داشته است و هند و پاکستان هر دو مدعی حاکمیت بر کل منطقه هستند، حتی اگر هر کدام تنها بخشی را کنترل کنند. تلاش های دیپلماتیک برای دستیابی به راه حلی پایدار برای این موضوع تاکنون ناموفق بوده است.
DoNot Team عمدتاً نهادهای مرتبط با دولت ها، وزارتخانه های امور خارجه، سازمان های نظامی و سفارتخانه ها را در عملیات خود هدف قرار می دهد.
Firebird Backdoor یک ابزار تهدید کننده جدید است که توسط تیم DoNot به کار گرفته شده است
یک بررسی گسترده وجود یک درپشتی جدید مبتنی بر دات نت به نام Firebird را نشان داد. این درب پشتی از یک لودر اصلی و حداقل سه پلاگین تشکیل شده است. قابل ذکر است، تمام نمونه های آنالیز شده از طریق ConfuserEx محافظت قوی نشان دادند که منجر به نرخ تشخیص بسیار پایین شد. علاوه بر این، بخشهای خاصی از کد در نمونهها غیرعملیاتی به نظر میرسند، که نشاندهنده فعالیتهای توسعه مداوم است.
منطقه جنوب آسیا کانونی برای فعالیت های جرایم سایبری است
فعالیت های مخربی مشاهده شده است که شامل قبیله شفاف مستقر در پاکستان است که به نام APT36 نیز شناخته می شود و بخش هایی در داخل دولت هند را هدف قرار می دهد. آنها از یک زرادخانه بدافزار به روز شده استفاده کرده اند که شامل یک تروجان ویندوزی که قبلاً مستند نشده به نام ElizaRAT است.
Transparent Tribe که از سال 2013 فعال است، درگیر برداشت اعتبار و حملات توزیع بدافزار بوده است. آنها اغلب نصب کننده های تروجان شده برنامه های کاربردی دولت هند مانند احراز هویت چند عاملی Kavach را توزیع می کنند. علاوه بر این، آنها از چارچوب های فرمان و کنترل منبع باز (C2) مانند Mythic استفاده کرده اند.
قابل ذکر است که Transparent Tribe تمرکز خود را بر روی سیستم های لینوکس گسترش داده است. محققان تعداد محدودی فایل ورودی دسکتاپ را شناسایی کردهاند که اجرای باینریهای ELF مبتنی بر پایتون را تسهیل میکنند، از جمله GLOBSHELL برای استخراج فایل و PYSHELLFOX برای استخراج دادههای جلسه از مرورگر موزیلا فایرفاکس. سیستم عامل های مبتنی بر لینوکس در بخش دولتی هند رایج هستند.
علاوه بر DoNot Team و Transparent Tribe، یکی دیگر از بازیگران دولت ملت از منطقه آسیا و اقیانوسیه با علاقه خاصی به پاکستان ظهور کرده است. این بازیگر که با نام فیل اسرارآمیز یا APT-K-47 شناخته می شود، با یک کمپین فیشینگ نیزه ای مرتبط بوده است. این کمپین یک Backdoor جدید به نام ORPCBackdoor را مستقر می کند که قابلیت اجرای فایل ها و دستورات را بر روی رایانه قربانی و برقراری ارتباط با سرور مخرب برای ارسال یا دریافت فایل ها و دستورات دارد.