Firebird Backdoor
Grėsmių grupė, identifikuota kaip DoNot Team, buvo siejama su naujoviškų .NET pagrindu veikiančių užpakalinių durų, žinomų kaip Firebird, diegimu. Šios užpakalinės durys buvo panaudotos siekiant nukreipti nedidelį skaičių aukų, esančių Pakistane ir Afganistane.
Kibernetinio saugumo tyrėjai nustatė, kad šios atakos buvo sukurtos siekiant įdiegti parsisiuntimo programą, vadinamą CSVtyrei – pavadinimas kilęs iš panašumų į Vtyrei. „Vtyrei“, taip pat žinomas kaip BREEZESUGAR, reiškia pradinio etapo naudingosios apkrovos ir parsisiuntimo programos variantą, kurį priešininkas naudojo, kad platintų kenkėjišką sistemą, vadinamą RTY.
Turinys
„DoNot Team“ yra aktyvi elektroninių nusikaltimų grėsmės veikėja
„DoNot Team“, taip pat žinoma kaip APT-C-35, Origami Elephant ir SECTOR02, yra pažangios nuolatinės grėsmės (APT) grupė, kuri, kaip manoma, yra susijusi su Indijos vyriausybe. Ši grupė veikia mažiausiai nuo 2016 m. ir yra tikimybė, kad ji susikūrė anksčiau nei šis laikotarpis.
Atrodo, kad pagrindinis „DoNot Team“ tikslas yra šnipinėjimas remiant Indijos vyriausybės interesus. Kibernetinio saugumo tyrinėtojai stebėjo kelias kampanijas, kurias vykdė ši grupė, turėdama omenyje šį konkretų tikslą.
Nors pradinė žinoma „DoNot Team“ ataka buvo nukreipta į telekomunikacijų įmonę Norvegijoje, jos pagrindinis dėmesys skiriamas šnipinėjimui Pietų Azijoje. Atsižvelgiant į vykstantį Kašmyro konfliktą, pagrindinė jų interesų sritis yra Kašmyro regionas. Šis ginčas tęsėsi ilgą laiką, tiek Indijai, tiek Pakistanui pretenduojant į viso regiono suverenitetą, nors kiekvienas valdo tik dalį. Diplomatinės pastangos pasiekti ilgalaikį šios problemos sprendimą iki šiol buvo nesėkmingos.
„DoNot Team“ pirmiausia taikosi į subjektus, susijusius su vyriausybėmis, užsienio reikalų ministerijomis, karinėmis organizacijomis ir ambasadomis.
„Firebird Backdoor“ yra naujas grėsmės įrankis, kurį įdiegė „DoNot“ komanda
Išsamus tyrimas atskleidė, kad yra naujos .NET pagrindu sukurtos užpakalinės durys, vadinamos Firebird. Šias galines duris sudaro pirminis įkroviklis ir mažiausiai trys papildiniai. Pažymėtina, kad visi analizuoti mėginiai buvo stipriai apsaugoti naudojant „ConfuserEx“, todėl aptikimo dažnis buvo ypač mažas. Be to, tam tikros kodo dalys pavyzdžiuose pasirodė neveikiančios, o tai rodo, kad vykdoma kūrimo veikla.
Pietų Azijos regionas yra kibernetinių nusikaltimų židinys
Buvo pastebėta kenkėjiška veikla, susijusi su Pakistane įsikūrusia skaidria gentis, taip pat žinoma kaip APT36, nukreipta į Indijos vyriausybės sektorius. Jie panaudojo atnaujintą kenkėjiškų programų arsenalą, kuriame yra anksčiau nedokumentuotas Windows Trojos arklys, pavadintas ElizaRAT.
„Transparent Tribe“, veikianti nuo 2013 m., užsiima kredencialų rinkimu ir kenkėjiškų programų platinimo atakomis. Jie dažnai platina Indijos vyriausybinių programų, pvz., Kavach kelių veiksnių autentifikavimo, trojanizuotus diegimo įrenginius. Be to, jie panaudojo atvirojo kodo komandų ir valdymo (C2) sistemas, tokias kaip Mythic.
Pažymėtina, kad „Transparent Tribe“ išplėtė savo dėmesį į „Linux“ sistemas. Tyrėjai nustatė ribotą skaičių darbalaukio įvesties failų, kurie palengvina Python pagrindu sukurtų ELF dvejetainių failų vykdymą, įskaitant GLOBSHELL failų išfiltravimui ir PYSHELLFOX seanso duomenims iš Mozilla Firefox naršyklės išgauti. „Linux“ operacinės sistemos yra paplitusios Indijos vyriausybės sektoriuje.
Be DoNot Team ir Transparent Tribe, atsirado dar vienas nacionalinės valstybės veikėjas iš Azijos ir Ramiojo vandenyno regiono, ypač susidomėjęs Pakistanu. Šis aktorius, žinomas kaip Paslaptingasis dramblys arba APT-K-47, buvo susijęs su sukčiavimo kampanija. Šioje kampanijoje įdiegtos naujos užpakalinės durys, pavadintos ORPBackdoor, kuri gali vykdyti failus ir komandas aukos kompiuteryje ir susisiekti su kenkėjišku serveriu, kad būtų galima siųsti arba gauti failus ir komandas.
