Firebird Backdoor

DoNot Team के रूप में पहचाने जाने वाला ख़तरा समूह फ़ायरबर्ड नामक एक अभिनव .NET-आधारित बैकडोर की तैनाती से जुड़ा हुआ है। इस पिछले दरवाजे का उपयोग पाकिस्तान और अफगानिस्तान में स्थित कुछ पीड़ितों को निशाना बनाने के लिए किया गया है।

साइबर सुरक्षा शोधकर्ताओं ने पहचान की है कि ये हमले CSVtyrei नामक एक डाउनलोडर को तैनात करने के लिए स्थापित किए गए हैं, यह नाम Vtyrei से इसकी समानता के कारण लिया गया है। Vtyrei, जिसे BREEZESUGAR के नाम से भी जाना जाता है, एक प्रारंभिक-चरण पेलोड और डाउनलोडर संस्करण को दर्शाता है जिसका उपयोग पहले प्रतिद्वंद्वी द्वारा RTY नामक दुर्भावनापूर्ण ढांचे को वितरित करने के लिए किया जाता था।

डूनॉट टीम एक सक्रिय साइबर क्राइम थ्रेट एक्टर है

DoNot Team, जिसे APT-C-35, ओरिगेमी एलिफेंट और SECTOR02 के नाम से भी जाना जाता है, एक एडवांस्ड पर्सिस्टेंट थ्रेट (APT) समूह है, जिसके बारे में माना जाता है कि इसका संबंध भारत सरकार से है। यह समूह कम से कम 2016 से सक्रिय है, और ऐसी संभावना है कि इसका गठन इस अवधि से पहले हुआ हो।

DoNot Team का प्राथमिक उद्देश्य भारत सरकार के हितों के समर्थन में जासूसी करना प्रतीत होता है। साइबर सुरक्षा शोधकर्ताओं ने इस विशिष्ट लक्ष्य को ध्यान में रखते हुए इस समूह द्वारा चलाए गए कई अभियानों को देखा है।

जबकि DoNot Team के शुरुआती ज्ञात हमले में नॉर्वे में एक दूरसंचार कंपनी को निशाना बनाया गया था, इसका ध्यान मुख्य रूप से दक्षिण एशिया में जासूसी के इर्द-गिर्द घूमता है। मौजूदा कश्मीर संघर्ष को देखते हुए, उनकी रुचि का मुख्य क्षेत्र कश्मीर क्षेत्र है। यह विवाद लंबे समय से बना हुआ है, भारत और पाकिस्तान दोनों पूरे क्षेत्र पर संप्रभुता का दावा करते हैं, भले ही वे केवल एक हिस्से को नियंत्रित करते हैं। इस मुद्दे के स्थायी समाधान तक पहुंचने के कूटनीतिक प्रयास अब तक असफल साबित हुए हैं।

DoNot टीम अपने संचालन में मुख्य रूप से सरकारों, विदेशी मामलों के मंत्रालयों, सैन्य संगठनों और दूतावासों से जुड़ी संस्थाओं को लक्षित करती है।

फायरबर्ड बैकडोर DoNot टीम द्वारा तैनात एक नया धमकी देने वाला उपकरण है

एक व्यापक परीक्षण से फायरबर्ड नामक एक नए .NET-आधारित पिछले दरवाजे की उपस्थिति का पता चला है। इस पिछले दरवाजे में एक प्राथमिक लोडर और कम से कम तीन प्लगइन्स होते हैं। विशेष रूप से, सभी विश्लेषण किए गए नमूनों ने कन्फ्यूज़रएक्स के माध्यम से मजबूत सुरक्षा प्रदर्शित की, जिससे पता लगाने की दर बेहद कम हो गई। इसके अतिरिक्त, नमूनों के भीतर कोड के कुछ अनुभाग गैर-परिचालनशील दिखाई दिए, जो चल रही विकास गतिविधियों का सुझाव देते हैं।

दक्षिण एशिया क्षेत्र साइबर अपराध गतिविधियों का केंद्र है

पाकिस्तान स्थित ट्रांसपेरेंट ट्राइब, जिसे एपीटी36 भी कहा जाता है, से जुड़ी दुर्भावनापूर्ण गतिविधियां देखी गई हैं, जो भारत सरकार के भीतर के क्षेत्रों को निशाना बना रही हैं। उन्होंने एक अद्यतन मैलवेयर शस्त्रागार को नियोजित किया है, जिसमें ElizaRAT नामक पहले से अप्रलेखित विंडोज ट्रोजन शामिल है।

ट्रांसपेरेंट ट्राइब, जो 2013 से सक्रिय है, क्रेडेंशियल हार्वेस्टिंग और मैलवेयर वितरण हमलों में लगा हुआ है। वे अक्सर कवच मल्टी-फैक्टर प्रमाणीकरण जैसे भारतीय सरकारी अनुप्रयोगों के ट्रोजनयुक्त इंस्टॉलर वितरित करते हैं। इसके अतिरिक्त, उन्होंने माइथिक जैसे ओपन-सोर्स कमांड-एंड-कंट्रोल (सी2) फ्रेमवर्क का लाभ उठाया है।

विशेष रूप से, ट्रांसपेरेंट ट्राइब ने लिनक्स सिस्टम पर अपना ध्यान केंद्रित किया है। शोधकर्ताओं ने सीमित संख्या में डेस्कटॉप प्रविष्टि फ़ाइलों की पहचान की है जो पायथन-आधारित ईएलएफ बायनेरिज़ के निष्पादन की सुविधा प्रदान करती हैं, जिसमें फ़ाइल एक्सफ़िल्ट्रेशन के लिए ग्लोबशेल और मोज़िला फ़ायरफ़ॉक्स ब्राउज़र से सत्र डेटा निकालने के लिए PYSHELLFOX शामिल हैं। लिनक्स-आधारित ऑपरेटिंग सिस्टम भारतीय सरकारी क्षेत्र में प्रचलित हैं।

डूनॉट टीम और ट्रांसपेरेंट ट्राइब के अलावा, एशिया-प्रशांत क्षेत्र से एक और राष्ट्र-राज्य अभिनेता पाकिस्तान में विशेष रुचि के साथ उभरा है। मिस्टीरियस एलिफेंट या एपीटी-के-47 के नाम से मशहूर इस अभिनेता को स्पीयर-फ़िशिंग अभियान से जोड़ा गया है। यह अभियान ORPCBackdoor नामक एक नवीन बैकडोर को तैनात करता है, जिसमें पीड़ित के कंप्यूटर पर फ़ाइलों और आदेशों को निष्पादित करने और फ़ाइलों और आदेशों को भेजने या प्राप्त करने के लिए एक दुर्भावनापूर्ण सर्वर के साथ संचार करने की क्षमता होती है।