Firebird Backdoor

Trusselgruppen identifisert som DoNot Team har blitt assosiert med utplasseringen av en innovativ .NET-basert bakdør kjent som Firebird. Denne bakdøren har blitt brukt til å målrette et lite antall ofre i Pakistan og Afghanistan.

Cybersikkerhetsforskere har identifisert at disse angrepene er satt opp for å distribuere en nedlaster kalt CSVtyrei, et navn som er avledet fra dets likheter med Vtyrei. Vtyrei, også kjent som BREEZESUGAR, betegner en innledende nyttelast- og nedlastningsvariant som tidligere ble brukt av motstanderen for å distribuere et ondsinnet rammeverk kalt RTY.

DoNot Team er en aktiv trusselaktør for nettkriminalitet

DoNot Team, også kjent som APT-C-35, Origami Elephant og SECTOR02, er en Advanced Persistent Threat (APT)-gruppe som antas å ha tilknytning til den indiske regjeringen. Denne gruppen har vært aktiv siden minst 2016, og det er en mulighet for at den ble dannet før denne perioden.

Hovedmålet til DoNot Team ser ut til å være spionasje til støtte for den indiske regjeringens interesser. Cybersikkerhetsforskere har observert flere kampanjer utført av denne gruppen med dette spesifikke målet i tankene.

Mens DoNot Teams første kjente angrep var rettet mot et telekommunikasjonsselskap i Norge, dreier det seg først og fremst om spionasje i Sør-Asia. Deres viktigste interesseområde er Kashmir-regionen, gitt den pågående Kashmir-konflikten. Denne striden har vedvart i lang tid, med både India og Pakistan som hevder suverenitet over hele regionen, selv om de hver kontrollerer bare en del. Diplomatiske forsøk på å nå en varig løsning på dette problemet har så langt vist seg å være mislykket.

DoNot Team retter seg primært mot enheter tilknyttet regjeringer, utenriksdepartementer, militære organisasjoner og ambassader i sine operasjoner.

Firebird Backdoor er et nytt truende verktøy utplassert av DoNot-teamet

En omfattende undersøkelse har avdekket tilstedeværelsen av en ny .NET-basert bakdør kalt Firebird. Denne bakdøren består av en primær laster og minimum tre plugins. Spesielt viste alle analyserte prøver sterk beskyttelse gjennom ConfuserEx, noe som førte til en ekstremt lav deteksjonshastighet. I tillegg virket visse deler av koden i prøvene ikke-operative, noe som tyder på pågående utviklingsaktiviteter.

Sør-Asia-regionen er et arnested for nettkriminalitet

Ondsinnede aktiviteter har blitt observert som involverer den Pakistan-baserte Transparent Tribe, også kjent som APT36, rettet mot sektorer i den indiske regjeringen. De har brukt et oppdatert malware-arsenal, som inkluderer en tidligere udokumentert Windows-trojan ved navn ElizaRAT.

Transparent Tribe, operativ siden 2013, har engasjert seg i innhenting av legitimasjon og distribusjonsangrep av skadelig programvare. De distribuerer ofte trojaniserte installatører av indiske regjeringsapplikasjoner som Kavach multifaktorautentisering. I tillegg har de utnyttet åpen kildekode-kommando-og-kontroll-rammeverk (C2), for eksempel Mythic.

Spesielt har Transparent Tribe utvidet fokuset til Linux-systemer. Forskere har identifisert et begrenset antall skrivebordsfiler som letter utførelse av Python-baserte ELF-binærfiler, inkludert GLOBSHELL for fileksfiltrering og PYSHELLFOX for å trekke ut øktdata fra Mozilla Firefox-nettleseren. Linux-baserte operativsystemer er utbredt i den indiske regjeringssektoren.

I tillegg til DoNot Team og Transparent Tribe, har en annen nasjonalstatsaktør fra Asia-Stillehavsregionen dukket opp med en spesiell interesse for Pakistan. Denne skuespilleren, kjent som Mysterious Elephant eller APT-K-47, har blitt koblet til en spyd-phishing-kampanje. Denne kampanjen distribuerer en ny bakdør kalt ORPCBackdoor, som har evnen til å utføre filer og kommandoer på offerets datamaskin og kommunisere med en ondsinnet server for å sende eller motta filer og kommandoer.