Firebird Backdoor
Il gruppo di minacce identificato come DoNot Team è stato associato all'implementazione di un'innovativa backdoor basata su .NET nota come Firebird. Questa backdoor è stata utilizzata per prendere di mira un piccolo numero di vittime situate in Pakistan e Afghanistan.
I ricercatori di sicurezza informatica hanno identificato che questi attacchi sono impostati per distribuire un downloader chiamato CSVtyrei, un nome derivato dalle sue somiglianze con Vtyrei. Vtyrei, noto anche come BREEZESUGAR, denota una variante del payload e del downloader nella fase iniziale precedentemente utilizzata dall'avversario per distribuire un framework dannoso chiamato RTY.
Sommario
DoNot Team è un attore attivo della minaccia del crimine informatico
DoNot Team, noto anche come APT-C-35, Origami Elephant e SECTOR02, è un gruppo APT (Advanced Persistent Threat) che si ritiene abbia affiliazioni con il governo indiano. Questo gruppo è attivo almeno dal 2016 ed esiste la possibilità che la sua formazione sia anteriore a questo periodo.
L'obiettivo primario del DoNot Team sembra essere lo spionaggio a sostegno degli interessi del governo indiano. I ricercatori di sicurezza informatica hanno osservato molteplici campagne portate avanti da questo gruppo con questo obiettivo specifico in mente.
Sebbene l'attacco iniziale noto di DoNot Team abbia preso di mira una società di telecomunicazioni in Norvegia, la sua attenzione si concentra principalmente sullo spionaggio nell'Asia meridionale. La loro principale area di interesse è la regione del Kashmir, dato il conflitto in corso nel Kashmir. Questa disputa persiste da molto tempo, con India e Pakistan che rivendicano la sovranità sull’intera regione, anche se ciascuno di essi ne controlla solo una parte. Gli sforzi diplomatici per raggiungere una soluzione duratura a questa questione si sono finora rivelati infruttuosi.
DoNot Team si rivolge principalmente a entità associate a governi, ministeri degli affari esteri, organizzazioni militari e ambasciate nelle sue operazioni.
Firebird Backdoor è un nuovo strumento di minaccia implementato dal team DoNot
Un esame approfondito ha rivelato la presenza di una nuova backdoor basata su .NET denominata Firebird. Questa backdoor è composta da un caricatore primario e un minimo di tre plugin. In particolare, tutti i campioni analizzati hanno mostrato una forte protezione tramite ConfuserEx, portando a un tasso di rilevamento estremamente basso. Inoltre, alcune sezioni del codice all'interno degli esempi apparivano non operative, suggerendo attività di sviluppo in corso.
La regione dell’Asia meridionale è un focolaio di attività di criminalità informatica
Sono state osservate attività dannose che hanno coinvolto la Transparent Tribe, con sede in Pakistan, nota anche come APT36, prendendo di mira settori all'interno del governo indiano. Hanno utilizzato un arsenale di malware aggiornato, che include un trojan Windows precedentemente non documentato denominato ElizaRAT.
Transparent Tribe, operativa dal 2013, è impegnata nella raccolta di credenziali e negli attacchi di distribuzione di malware. Spesso distribuiscono programmi di installazione trojanizzati di applicazioni governative indiane come l'autenticazione a più fattori Kavach. Inoltre, hanno sfruttato i framework di comando e controllo (C2) open source, come Mythic.
In particolare, Transparent Tribe ha ampliato la propria attenzione ai sistemi Linux. I ricercatori hanno identificato un numero limitato di file desktop entry che facilitano l'esecuzione di binari ELF basati su Python, tra cui GLOBSHELL per l'esfiltrazione di file e PYSHELLFOX per l'estrazione dei dati della sessione dal browser Mozilla Firefox. I sistemi operativi basati su Linux sono prevalenti nel settore governativo indiano.
Oltre a DoNot Team e Transparent Tribe, è emerso un altro attore-stato-nazione della regione Asia-Pacifico con un particolare interesse per il Pakistan. Questo attore, noto come Mysterious Elephant o APT-K-47, è stato collegato a una campagna di spear-phishing. Questa campagna utilizza una nuova backdoor chiamata ORPCBackdoor, che ha la capacità di eseguire file e comandi sul computer della vittima e di comunicare con un server dannoso per inviare o ricevere file e comandi.
