Firebird Backdoor
Draudi grupa, kas identificēta kā DoNot Team, ir saistīta ar novatoriskas .NET bāzes aizmugures durvju, kas pazīstamas kā Firebird, izvietošanu. Šīs aizmugures durvis ir izmantotas, lai mērķētu uz nelielu skaitu upuru Pakistānā un Afganistānā.
Kiberdrošības pētnieki ir noskaidrojuši, ka šie uzbrukumi ir izveidoti, lai izvietotu lejupielādētāju, ko sauc par CSVtyrei, un nosaukums cēlies no tā līdzības ar Vtyrei. Vtyrei, kas pazīstams arī kā BREEZESUGAR, apzīmē sākotnējās slodzes un lejupielādētāja variantu, ko pretinieks iepriekš izmantoja, lai izplatītu ļaunprātīgu sistēmu, ko sauc par RTY.
Satura rādītājs
DoNot Team ir aktīvs kibernoziedzības draudu dalībnieks
DoNot Team, kas pazīstama arī kā APT-C-35, Origami Elephant un SECTOR02, ir Advanced Persistent Threat (APT) grupa, kas, domājams, ir saistīta ar Indijas valdību. Šī grupa ir darbojusies vismaz kopš 2016. gada, un pastāv iespēja, ka tā izveidojusies pirms šī perioda.
Šķiet, ka DoNot Team galvenais mērķis ir spiegošana Indijas valdības interešu atbalstam. Kiberdrošības pētnieki ir novērojuši vairākas šīs grupas īstenotās kampaņas, paturot prātā šo konkrēto mērķi.
Lai gan DoNot Team sākotnējais zināmais uzbrukums bija vērsts uz telekomunikāciju uzņēmumu Norvēģijā, tā uzmanība galvenokārt ir vērsta uz spiegošanu Dienvidāzijā. Viņu galvenā interešu joma ir Kašmiras reģions, ņemot vērā notiekošo Kašmiras konfliktu. Šis strīds ir turpinājies ilgu laiku, gan Indijai, gan Pakistānai pretendējot uz suverenitāti pār visu reģionu, lai gan katra kontrolē tikai daļu. Diplomātiskie centieni panākt ilgstošu šī jautājuma atrisinājumu līdz šim ir izrādījušies nesekmīgi.
DoNot Team savā darbībā galvenokārt ir vērsta uz struktūrām, kas saistītas ar valdībām, ārlietu ministrijām, militārām organizācijām un vēstniecībām.
Firebird Backdoor ir jauns apdraudējuma rīks, ko izvietojusi DoNot komanda
Plaša pārbaude ir atklājusi jaunu .NET balstītu aizmugures durvju klātbūtni, ko dēvē par Firebird. Šīs aizmugures durvis sastāv no primārā ielādēja un vismaz trim spraudņiem. Jo īpaši visiem analizētajiem paraugiem bija spēcīga aizsardzība, izmantojot ConfuserEx, kā rezultātā tika panākts ārkārtīgi zems noteikšanas līmenis. Turklāt atsevišķas koda sadaļas paraugos nedarbojās, kas liecina par notiekošām izstrādes darbībām.
Dienvidāzijas reģions ir kibernoziedzības darbības vieta
Ir novērotas ļaunprātīgas darbības, kas saistītas ar Pakistānā bāzēto Caurspīdīgo cilti, kas pazīstama arī kā APT36, un kuru mērķauditorija ir Indijas valdības sektori. Viņi ir izmantojuši atjauninātu ļaunprātīgas programmatūras arsenālu, kas ietver iepriekš nedokumentētu Windows Trojas zirgu ar nosaukumu ElizaRAT.
Transparent Tribe, kas darbojas kopš 2013. gada, ir iesaistījies akreditācijas datu iegūšanā un ļaunprātīgas programmatūras izplatīšanas uzbrukumos. Viņi bieži izplata Indijas valdības lietojumprogrammu, piemēram, Kavach daudzfaktoru autentifikācijas, Trojanizētos instalētājus. Turklāt viņi ir izmantojuši atvērtā pirmkoda komandu un kontroles (C2) ietvarus, piemēram, Mythic.
Jo īpaši Transparent Tribe ir paplašinājis savu uzmanību uz Linux sistēmām. Pētnieki ir identificējuši ierobežotu skaitu darbvirsmas ievades failu, kas atvieglo Python balstītu ELF bināro failu izpildi, tostarp GLOBSHELL failu eksfiltrācijai un PYSHELLFOX sesijas datu izvilkšanai no pārlūkprogrammas Mozilla Firefox. Indijas valdības sektorā ir izplatītas operētājsistēmas, kuru pamatā ir Linux.
Papildus DoNot Team un Transparent Tribe ir parādījies vēl viens nacionālas valsts dalībnieks no Āzijas un Klusā okeāna reģiona, kas īpaši interesējas par Pakistānu. Šis aktieris, kas pazīstams kā Noslēpumainais zilonis vai APT-K-47, ir saistīts ar pikšķerēšanas kampaņu. Šajā kampaņā tiek izmantotas jaunas aizmugures durvis ar nosaukumu ORPBackdoor, kas spēj izpildīt failus un komandas upura datorā un sazināties ar ļaunprātīgu serveri, lai nosūtītu vai saņemtu failus un komandas.
