Firebird Backdoor

DoNot Team으로 식별된 위협 그룹은 Firebird로 알려진 혁신적인 .NET 기반 백도어 배포와 관련이 있습니다. 이 백도어는 파키스탄과 아프가니스탄에 위치한 소수의 피해자를 표적으로 삼는 데 활용되었습니다.

사이버 보안 연구원들은 이러한 공격이 Vtyrei와 유사하여 이름이 붙여진 CSVtyrei라는 다운로더를 배포하도록 설정되었음을 확인했습니다. BREEZESUGAR라고도 알려진 Vtyrei는 이전에 공격자가 RTY라는 악성 프레임워크를 배포하기 위해 사용했던 초기 단계 페이로드 및 다운로더 변종을 나타냅니다.

DoNot 팀은 활동적인 사이버 범죄 위협 행위자입니다.

APT-C-35, Origami Elephant 및 SECTOR02로도 알려진 DoNot 팀은 인도 정부와 제휴 관계에 있는 것으로 추정되는 지능형 지속 위협(APT) 그룹입니다. 이 그룹은 적어도 2016년부터 활동해왔으며, 이 시기 이전에 결성되었을 가능성도 있습니다.

DoNot 팀의 주요 목표는 인도 정부의 이익을 지원하는 간첩 활동인 것으로 보입니다. 사이버 보안 연구원들은 이 특정 목표를 염두에 두고 이 그룹이 수행하는 여러 캠페인을 관찰했습니다.

DoNot Team의 알려진 최초 공격은 노르웨이의 통신 회사를 표적으로 삼았지만 주로 남아시아의 간첩 활동에 중점을 두고 있습니다. 현재 진행 중인 카슈미르 분쟁을 고려할 때 그들의 주요 관심 지역은 카슈미르 지역입니다. 이 분쟁은 오랫동안 지속되어 왔으며, 인도와 파키스탄은 각각 일부만 통제하고 있음에도 불구하고 전체 지역에 대한 주권을 주장하고 있습니다. 이 문제를 영구적으로 해결하려는 외교적 노력은 지금까지 성공하지 못한 것으로 나타났습니다.

DoNot 팀은 주로 정부, 외교부, 군사 조직 및 대사관과 관련된 기관을 대상으로 활동합니다.

Firebird 백도어는 DoNot 팀이 배포한 새로운 위협 도구입니다.

광범위한 조사 결과 Firebird라고 하는 새로운 .NET 기반 백도어가 존재하는 것으로 나타났습니다. 이 백도어는 기본 로더와 최소 3개의 플러그인으로 구성됩니다. 특히, 분석된 모든 샘플은 ConfuserEx를 통해 강력한 보호를 보여 탐지율이 매우 낮았습니다. 또한 샘플 내 코드의 특정 섹션이 작동하지 않는 것으로 나타났으며 이는 지속적인 개발 활동을 암시합니다.

남아시아 지역은 사이버 범죄 활동의 온상입니다.

파키스탄에 기반을 둔 Transparent Tribe(APT36이라고도 함)와 관련된 악의적인 활동이 인도 정부 내 부문을 표적으로 하는 것이 관찰되었습니다. 그들은 이전에 문서화되지 않은 ElizaRAT라는 Windows 트로이 목마를 포함하는 업데이트된 악성 코드 무기고를 사용했습니다.

2013년부터 운영된 Transparent Tribe는 자격 증명 수집 및 악성 코드 배포 공격에 참여해 왔습니다. 그들은 종종 Kavach 다중 요소 인증과 같은 인도 정부 애플리케이션의 트로이 목마 설치 프로그램을 배포합니다. 또한 Mythic과 같은 오픈 소스 명령 및 제어(C2) 프레임워크를 활용했습니다.

특히 Transparent Tribe는 Linux 시스템으로 초점을 확장했습니다. 연구원들은 파일 추출을 위한 GLOBSHELL과 Mozilla Firefox 브라우저에서 세션 데이터를 추출하기 위한 PYSHELLFOX를 포함하여 Python 기반 ELF 바이너리의 실행을 용이하게 하는 제한된 수의 데스크톱 항목 파일을 식별했습니다. Linux 기반 운영 체제는 인도 정부 부문에서 널리 사용됩니다.

DoNot Team과 Transparent Tribe 외에도 아시아 태평양 지역의 또 다른 민족 국가 행위자가 파키스탄에 특별한 관심을 갖고 등장했습니다. 신비한 코끼리 또는 APT-K-47로 알려진 이 공격자는 스피어 피싱 캠페인과 연결되어 있습니다. 이 캠페인은 피해자의 컴퓨터에서 파일과 명령을 실행하고 악성 서버와 통신하여 파일과 명령을 보내거나 받는 기능을 갖춘 ORPCBackdoor라는 새로운 백도어를 배포합니다.