Firebird Backdoor
ក្រុមគំរាមកំហែងដែលត្រូវបានកំណត់ថាជា DoNot Team ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការដាក់ពង្រាយ backdoor ដែលមានមូលដ្ឋានលើ .NET ប្រកបដោយភាពច្នៃប្រឌិត ដែលត្រូវបានគេស្គាល់ថា Firebird ។ backdoor នេះត្រូវបានគេប្រើដើម្បីកំណត់គោលដៅជនរងគ្រោះមួយចំនួនតូចដែលមានទីតាំងក្នុងប្រទេសប៉ាគីស្ថាន និងអាហ្វហ្គានីស្ថាន។
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណថាការវាយប្រហារទាំងនេះត្រូវបានបង្កើតឡើងដើម្បីដាក់ពង្រាយកម្មវិធីទាញយកដែលហៅថា CSVtyrei ដែលជាឈ្មោះមកពីភាពស្រដៀងគ្នារបស់វាទៅនឹង Vtyrei ។ Vtyrei ដែលត្រូវបានគេស្គាល់ថាជា BREEZESUGAR តំណាងឱ្យដំណាក់កាលដំបូងនៃការបញ្ជូនបន្ទុក និងកំណែកម្មវិធីទាញយកដែលប្រើពីមុនដោយសត្រូវដើម្បីចែកចាយក្របខ័ណ្ឌព្យាបាទដែលហៅថា RTY ។
តារាងមាតិកា
DoNot Team គឺជាតួអង្គគំរាមកំហែងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតសកម្ម
ក្រុម DoNot ដែលត្រូវបានគេស្គាល់ផងដែរថាជា APT-C-35, Origami Elephant និង SECTOR02 គឺជាក្រុម Advanced Persistent Threat (APT) ដែលគេជឿថាមានទំនាក់ទំនងជាមួយរដ្ឋាភិបាលឥណ្ឌា។ ក្រុមនេះមានសកម្មភាពតាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2016 ហើយមានលទ្ធភាពដែលថាការបង្កើតរបស់វាកើតឡើងក្នុងរយៈពេលនេះ។
គោលបំណងចម្បងរបស់ក្រុម DoNot ហាក់ដូចជាចារកម្មក្នុងការគាំទ្រផលប្រយោជន៍របស់រដ្ឋាភិបាលឥណ្ឌា។ អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានសង្កេតឃើញយុទ្ធនាការជាច្រើនដែលធ្វើឡើងដោយក្រុមនេះជាមួយនឹងគោលដៅជាក់លាក់នេះនៅក្នុងចិត្ត។
ខណៈពេលដែលការវាយប្រហារដែលគេស្គាល់ដំបូងរបស់ DoNot Team សំដៅទៅលើក្រុមហ៊ុនទូរគមនាគមន៍មួយនៅក្នុងប្រទេសន័រវេស ការផ្តោតអារម្មណ៍របស់វាផ្តោតសំខាន់ទៅលើការធ្វើចារកម្មនៅអាស៊ីខាងត្បូង។ តំបន់សំខាន់របស់ពួកគេគឺតំបន់កាស្មៀរ ដែលបានផ្តល់ឲ្យជម្លោះកាស្មៀរកំពុងបន្ត។ ជម្លោះនេះបានអូសបន្លាយជាយូរមកហើយ ដោយទាំងឥណ្ឌា និងប៉ាគីស្ថានទាមទារអធិបតេយ្យភាពលើតំបន់ទាំងមូល ទោះបីពួកគេគ្រប់គ្រងតែផ្នែកមួយក៏ដោយ។ កិច្ចខិតខំប្រឹងប្រែងការទូតដើម្បីសម្រេចបានដំណោះស្រាយយូរអង្វែងចំពោះបញ្ហានេះ រហូតមកដល់ពេលនេះបានបង្ហាញថាមិនបានជោគជ័យទេ។
ក្រុម DoNot ផ្តោតជាចម្បងទៅលើអង្គភាពដែលពាក់ព័ន្ធជាមួយរដ្ឋាភិបាល ក្រសួងការបរទេស អង្គការយោធា និងស្ថានទូតនៅក្នុងប្រតិបត្តិការរបស់ខ្លួន។
Firebird Backdoor គឺជាឧបករណ៍គំរាមកំហែងថ្មីដែលដាក់ឱ្យប្រើប្រាស់ដោយក្រុម DoNot
ការពិនិត្យយ៉ាងទូលំទូលាយបានបង្ហាញពីវត្តមាននៃ backdoor ថ្មីដែលមានមូលដ្ឋានលើ .NET ដែលគេហៅថា Firebird ។ backdoor នេះមានកម្មវិធីផ្ទុកបឋម និងកម្មវិធីជំនួយយ៉ាងតិចបី។ គួរកត់សម្គាល់ថាសំណាកដែលបានវិភាគទាំងអស់បានបង្ហាញការការពារដ៏រឹងមាំតាមរយៈ ConfuserEx ដែលនាំឱ្យអត្រារកឃើញទាបបំផុត។ លើសពីនេះ ផ្នែកមួយចំនួននៃកូដនៅក្នុងគំរូបានលេចចេញជារូបរាងដែលមិនដំណើរការ ដែលបង្ហាញពីសកម្មភាពអភិវឌ្ឍន៍ដែលកំពុងបន្ត។
តំបន់អាស៊ីខាងត្បូងគឺជាកន្លែងក្តៅគគុកសម្រាប់សកម្មភាពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត
សកម្មភាពព្យាបាទត្រូវបានគេសង្កេតឃើញពាក់ព័ន្ធនឹងក្រុម Transparent Tribe ដែលមានមូលដ្ឋាននៅប៉ាគីស្ថាន ដែលត្រូវបានគេស្គាល់ថា APT36 ដែលផ្តោតលើវិស័យនានានៅក្នុងរដ្ឋាភិបាលឥណ្ឌា។ ពួកគេបានប្រើប្រាស់ឃ្លាំងផ្ទុកមេរោគដែលត្រូវបានអាប់ដេត ដែលរួមមាន Trojan Windows ដែលមិនមានឯកសារពីមុនដែលមានឈ្មោះថា ElizaRAT ។
Transparent Tribe ដែលដំណើរការតាំងពីឆ្នាំ 2013 បានចូលរួមក្នុងការប្រមូលព័ត៌មាន និងការវាយប្រហារចែកចាយមេរោគ។ ជារឿយៗពួកគេចែកចាយកម្មវិធីដំឡើង Trojanized នៃកម្មវិធីរដ្ឋាភិបាលឥណ្ឌាដូចជា Kavach multi-factor authentication ។ លើសពីនេះ ពួកគេបានប្រើប្រាស់ក្របខណ្ឌ command-and-control (C2) ប្រភពបើកចំហរ ដូចជា Mythic ជាដើម។
គួរកត់សម្គាល់ថា Transparent Tribe បានពង្រីកការផ្តោតអារម្មណ៍របស់ខ្លួនទៅកាន់ប្រព័ន្ធលីនុច។ អ្នកស្រាវជ្រាវបានកំណត់ចំនួនកំណត់នៃឯកសារចូលផ្ទៃតុដែលជួយសម្រួលដល់ការប្រតិបត្តិប្រព័ន្ធគោលពីរ ELF ដែលមានមូលដ្ឋានលើ Python រួមទាំង GLOBSHELL សម្រាប់ការស្រង់ចេញឯកសារ និង PYSHELLFOX សម្រាប់ទាញយកទិន្នន័យសម័យចេញពីកម្មវិធីរុករក Mozilla Firefox ។ ប្រព័ន្ធប្រតិបត្តិការដែលមានមូលដ្ឋានលើលីនុចមានជាទូទៅនៅក្នុងផ្នែករដ្ឋាភិបាលឥណ្ឌា។
ក្រៅពីក្រុម DoNot និងក្រុម Transparent Tribe តួអង្គរដ្ឋមួយទៀតមកពីតំបន់អាស៊ីប៉ាស៊ីហ្វិកបានលេចចេញនូវចំណាប់អារម្មណ៍ពិសេសនៅក្នុងប្រទេសប៉ាគីស្ថាន។ តួសម្តែងនេះ ត្រូវបានគេស្គាល់ថាជា ដំរីអាថ៌កំបាំង ឬ APT-K-47 ត្រូវបានភ្ជាប់ជាមួយនឹងយុទ្ធនាការបន្លំលំពែង។ យុទ្ធនាការនេះដាក់ពង្រាយ backdoor ប្រលោមលោកហៅថា ORPCBackdoor ដែលមានសមត្ថភាពប្រតិបត្តិឯកសារ និងពាក្យបញ្ជានៅលើកុំព្យូទ័ររបស់ជនរងគ្រោះ និងទំនាក់ទំនងជាមួយម៉ាស៊ីនមេដែលមានគំនិតអាក្រក់ដើម្បីផ្ញើ ឬទទួលឯកសារ និងពាក្យបញ្ជា។