Firebird Backdoor
Skupina prijetnji identificirana kao DoNot Team povezana je s implementacijom inovativnog stražnjeg vrata temeljenog na .NET-u poznatog kao Firebird. Ova stražnja vrata korištena su za ciljanje malog broja žrtava u Pakistanu i Afganistanu.
Istraživači kibernetičke sigurnosti otkrili su da su ovi napadi postavljeni za implementaciju preuzimača koji se zove CSVtyrei, naziv koji je izveden iz sličnosti s Vtyreijem. Vtyrei, također poznat kao BREEZESUGAR, označava početnu varijantu nosivosti i programa za preuzimanje koju je protivnik prethodno koristio za distribuciju zlonamjernog okvira pod nazivom RTY.
Sadržaj
DoNot Team aktivni je akter prijetnji kibernetičkog kriminala
DoNot Team, također poznat kao APT-C-35, Origami Elephant i SECTOR02, skupina je Advanced Persistent Threat (APT) za koju se vjeruje da je povezana s indijskom vladom. Ova skupina djeluje najmanje od 2016. godine, a postoji mogućnost da je njezino formiranje prethodilo tom razdoblju.
Čini se da je primarni cilj DoNot Teama špijunaža u korist interesa indijske vlade. Istraživači kibernetičke sigurnosti promatrali su višestruke kampanje koje je provela ova skupina s ovim specifičnim ciljem na umu.
Dok je prvi poznati napad DoNot Teama bio usmjeren na telekomunikacijsku tvrtku u Norveškoj, njegov fokus prvenstveno se vrti oko špijunaže u južnoj Aziji. Njihovo glavno područje interesa je regija Kašmir, s obzirom na kašmirski sukob koji je u tijeku. Ovaj spor traje dugo vremena, a Indija i Pakistan tvrde da imaju suverenitet nad cijelom regijom, iako svaka kontrolira samo jedan dio. Diplomatski napori da se postigne trajno rješenje ovog pitanja do sada su se pokazali neuspješnima.
DoNot Team prvenstveno cilja na subjekte povezane s vladama, ministarstvima vanjskih poslova, vojnim organizacijama i veleposlanstvima u svojim operacijama.
Firebird Backdoor novi je prijeteći alat koji je postavio tim DoNot
Opsežno ispitivanje otkrilo je prisutnost novog backdoor-a temeljenog na .NET-u koji se naziva Firebird. Ovaj se backdoor sastoji od primarnog učitavača i najmanje tri dodatka. Naime, svi analizirani uzorci pokazali su snažnu zaštitu putem ConfuserExa, što je dovelo do iznimno niske stope detekcije. Osim toga, činilo se da neki dijelovi koda unutar uzoraka nisu operativni, što sugerira razvojne aktivnosti u tijeku.
Regija Južne Azije je leglo za aktivnosti kibernetičkog kriminala
Uočene su zlonamjerne aktivnosti koje uključuju pakistansko pleme Transparent Tribe, poznato i kao APT36, koje ciljaju na sektore unutar indijske vlade. Upotrijebili su ažurirani arsenal zlonamjernog softvera, koji uključuje prethodno nedokumentiranog Windows trojanca ElizaRAT.
Transparent Tribe, operativan od 2013., bavi se prikupljanjem vjerodajnica i napadima na distribuciju zlonamjernog softvera. Oni često distribuiraju trojanske programe za instalaciju aplikacija indijske vlade kao što je Kavach multi-factor autentifikacija. Osim toga, iskoristili su open-source okvire za upravljanje i kontrolu (C2), kao što je Mythic.
Naime, Transparent Tribe je proširio svoj fokus na Linux sustave. Istraživači su identificirali ograničeni broj ulaznih datoteka za radnu površinu koje olakšavaju izvođenje ELF binarnih datoteka temeljenih na Pythonu, uključujući GLOBSHELL za eksfiltraciju datoteka i PYSHELLFOX za izdvajanje podataka o sesiji iz preglednika Mozilla Firefox. Operativni sustavi temeljeni na Linuxu prevladavaju u indijskom vladinom sektoru.
Uz DoNot Team i Transparent Tribe, pojavio se još jedan akter nacionalne države iz azijsko-pacifičke regije s posebnim interesom za Pakistan. Ovaj glumac, poznat kao Misteriozni slon ili APT-K-47, povezivan je s kampanjom spear-phishinga. Ova kampanja koristi novi backdoor nazvan ORPCBackdoor, koji ima sposobnost izvršavanja datoteka i naredbi na žrtvinom računalu i komuniciranja sa zlonamjernim poslužiteljem za slanje ili primanje datoteka i naredbi.
