Firebird Backdoor

DoNot ਟੀਮ ਵਜੋਂ ਪਛਾਣੇ ਗਏ ਧਮਕੀ ਸਮੂਹ ਨੂੰ ਫਾਇਰਬਰਡ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਨਵੀਨਤਾਕਾਰੀ .NET-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਦੀ ਤੈਨਾਤੀ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਇਸ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੀ ਵਰਤੋਂ ਪਾਕਿਸਤਾਨ ਅਤੇ ਅਫਗਾਨਿਸਤਾਨ ਵਿੱਚ ਸਥਿਤ ਬਹੁਤ ਘੱਟ ਪੀੜਤਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਕੀਤੀ ਗਈ ਹੈ।

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਛਾਣ ਕੀਤੀ ਹੈ ਕਿ ਇਹ ਹਮਲੇ CSVtyrei ਨਾਮਕ ਇੱਕ ਡਾਊਨਲੋਡਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਸਥਾਪਤ ਕੀਤੇ ਗਏ ਹਨ, ਇਹ ਨਾਮ Vtyrei ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਤੋਂ ਲਿਆ ਗਿਆ ਹੈ। Vtyrei, ਜਿਸਨੂੰ BREEZESUGAR ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਸ਼ੁਰੂਆਤੀ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਅਤੇ ਡਾਊਨਲੋਡਰ ਵੇਰੀਐਂਟ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜੋ ਵਿਰੋਧੀ ਦੁਆਰਾ ਪਹਿਲਾਂ RTY ਨਾਮਕ ਇੱਕ ਖਤਰਨਾਕ ਫਰੇਮਵਰਕ ਨੂੰ ਵੰਡਣ ਲਈ ਵਰਤਿਆ ਗਿਆ ਸੀ।

ਡੋਨੌਟ ਟੀਮ ਇੱਕ ਸਰਗਰਮ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਧਮਕੀ ਅਦਾਕਾਰ ਹੈ

ਡੋਨੌਟ ਟੀਮ, ਜਿਸਨੂੰ APT-C-35, Origami Elephant, ਅਤੇ SECTOR02 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ (APT) ਸਮੂਹ ਹੈ ਜਿਸਦਾ ਭਾਰਤ ਸਰਕਾਰ ਨਾਲ ਸਬੰਧ ਹੈ। ਇਹ ਸਮੂਹ ਘੱਟੋ ਘੱਟ 2016 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਅਤੇ ਸੰਭਾਵਨਾ ਹੈ ਕਿ ਇਸਦਾ ਗਠਨ ਇਸ ਸਮੇਂ ਤੋਂ ਪਹਿਲਾਂ ਹੈ।

DoNot ਟੀਮ ਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਭਾਰਤ ਸਰਕਾਰ ਦੇ ਹਿੱਤਾਂ ਦੇ ਸਮਰਥਨ ਵਿੱਚ ਜਾਸੂਸੀ ਕਰਨਾ ਪ੍ਰਤੀਤ ਹੁੰਦਾ ਹੈ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸ ਵਿਸ਼ੇਸ਼ ਟੀਚੇ ਨੂੰ ਧਿਆਨ ਵਿੱਚ ਰੱਖ ਕੇ ਇਸ ਸਮੂਹ ਦੁਆਰਾ ਚਲਾਈਆਂ ਗਈਆਂ ਕਈ ਮੁਹਿੰਮਾਂ ਨੂੰ ਦੇਖਿਆ ਹੈ।

ਜਦੋਂ ਕਿ DoNot ਟੀਮ ਦੇ ਸ਼ੁਰੂਆਤੀ ਜਾਣੇ-ਪਛਾਣੇ ਹਮਲੇ ਨੇ ਨਾਰਵੇ ਵਿੱਚ ਇੱਕ ਦੂਰਸੰਚਾਰ ਕੰਪਨੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ, ਇਸਦਾ ਫੋਕਸ ਮੁੱਖ ਤੌਰ 'ਤੇ ਦੱਖਣੀ ਏਸ਼ੀਆ ਵਿੱਚ ਜਾਸੂਸੀ ਦੁਆਲੇ ਘੁੰਮਦਾ ਹੈ। ਕਸ਼ਮੀਰ ਦੇ ਚੱਲ ਰਹੇ ਟਕਰਾਅ ਦੇ ਮੱਦੇਨਜ਼ਰ ਉਨ੍ਹਾਂ ਦੀ ਦਿਲਚਸਪੀ ਦਾ ਮੁੱਖ ਖੇਤਰ ਕਸ਼ਮੀਰ ਖੇਤਰ ਹੈ। ਇਹ ਵਿਵਾਦ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਜਾਰੀ ਹੈ, ਭਾਰਤ ਅਤੇ ਪਾਕਿਸਤਾਨ ਦੋਵੇਂ ਹੀ ਪੂਰੇ ਖੇਤਰ 'ਤੇ ਪ੍ਰਭੂਸੱਤਾ ਦਾ ਦਾਅਵਾ ਕਰਦੇ ਹਨ, ਭਾਵੇਂ ਕਿ ਉਹ ਹਰ ਇੱਕ ਸਿਰਫ ਇੱਕ ਹਿੱਸੇ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਦੇ ਹਨ। ਇਸ ਮੁੱਦੇ ਦੇ ਸਥਾਈ ਹੱਲ ਤੱਕ ਪਹੁੰਚਣ ਦੀਆਂ ਕੂਟਨੀਤਕ ਕੋਸ਼ਿਸ਼ਾਂ ਹੁਣ ਤੱਕ ਅਸਫਲ ਸਾਬਤ ਹੋਈਆਂ ਹਨ।

DoNot ਟੀਮ ਮੁੱਖ ਤੌਰ 'ਤੇ ਸਰਕਾਰਾਂ, ਵਿਦੇਸ਼ੀ ਮਾਮਲਿਆਂ ਦੇ ਮੰਤਰਾਲਿਆਂ, ਫੌਜੀ ਸੰਸਥਾਵਾਂ ਅਤੇ ਦੂਤਾਵਾਸਾਂ ਨਾਲ ਜੁੜੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਆਪਣੇ ਕਾਰਜਾਂ ਵਿੱਚ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ।

ਫਾਇਰਬਰਡ ਬੈਕਡੋਰ ਇੱਕ ਨਵਾਂ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਟੂਲ ਹੈ ਜੋ DoNot ਟੀਮ ਦੁਆਰਾ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ

ਇੱਕ ਵਿਆਪਕ ਜਾਂਚ ਨੇ ਫਾਇਰਬਰਡ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਨਵੇਂ .NET- ਅਧਾਰਤ ਬੈਕਡੋਰ ਦੀ ਮੌਜੂਦਗੀ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ। ਇਸ ਬੈਕਡੋਰ ਵਿੱਚ ਇੱਕ ਪ੍ਰਾਇਮਰੀ ਲੋਡਰ ਅਤੇ ਘੱਟੋ-ਘੱਟ ਤਿੰਨ ਪਲੱਗਇਨ ਹੁੰਦੇ ਹਨ। ਖਾਸ ਤੌਰ 'ਤੇ, ਸਾਰੇ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤੇ ਨਮੂਨਿਆਂ ਨੇ ConfuserEx ਦੁਆਰਾ ਮਜ਼ਬੂਤ ਸੁਰੱਖਿਆ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤੀ, ਜਿਸ ਨਾਲ ਬਹੁਤ ਘੱਟ ਖੋਜ ਦਰ ਹੁੰਦੀ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਨਮੂਨਿਆਂ ਦੇ ਅੰਦਰ ਕੋਡ ਦੇ ਕੁਝ ਭਾਗ ਗੈਰ-ਕਾਰਜਸ਼ੀਲ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ, ਜੋ ਚੱਲ ਰਹੀਆਂ ਵਿਕਾਸ ਗਤੀਵਿਧੀਆਂ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ।

ਦੱਖਣੀ ਏਸ਼ੀਆ ਖੇਤਰ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਗਤੀਵਿਧੀਆਂ ਲਈ ਇੱਕ ਹੌਟਬੇਡ ਹੈ

ਪਾਕਿਸਤਾਨ-ਅਧਾਰਤ ਪਾਰਦਰਸ਼ੀ ਕਬੀਲੇ, ਜਿਸ ਨੂੰ APT36 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਭਾਰਤ ਸਰਕਾਰ ਦੇ ਅੰਦਰ ਸੈਕਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਭੈੜੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੇਖੀਆਂ ਗਈਆਂ ਹਨ। ਉਹਨਾਂ ਨੇ ਇੱਕ ਅੱਪਡੇਟ ਕੀਤੇ ਮਾਲਵੇਅਰ ਆਰਸਨਲ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਐਲੀਜ਼ਾਰੈਟ ਨਾਮ ਦਾ ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਬਿਨਾਂ ਦਸਤਾਵੇਜ਼ੀ ਵਿੰਡੋਜ਼ ਟਰੋਜਨ ਸ਼ਾਮਲ ਹੈ।

ਪਾਰਦਰਸ਼ੀ ਜਨਜਾਤੀ, 2013 ਤੋਂ ਕਾਰਜਸ਼ੀਲ, ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਹਾਰਵੈਸਟਿੰਗ ਅਤੇ ਮਾਲਵੇਅਰ ਵੰਡ ਹਮਲਿਆਂ ਵਿੱਚ ਰੁੱਝੀ ਹੋਈ ਹੈ। ਉਹ ਅਕਸਰ ਭਾਰਤ ਸਰਕਾਰ ਦੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਜਿਵੇਂ ਕਵਚ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਇੰਸਟੌਲਰ ਵੰਡਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਉਹਨਾਂ ਨੇ ਓਪਨ-ਸੋਰਸ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਫਰੇਮਵਰਕ ਦਾ ਲਾਭ ਲਿਆ ਹੈ, ਜਿਵੇਂ ਕਿ ਮਿਥਿਕ।

ਖਾਸ ਤੌਰ 'ਤੇ, ਟਰਾਂਸਪੇਰੈਂਟ ਟ੍ਰਾਈਬ ਨੇ ਆਪਣਾ ਫੋਕਸ ਲੀਨਕਸ ਸਿਸਟਮਾਂ ਵੱਲ ਵਧਾਇਆ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਡੈਸਕਟੌਪ ਐਂਟਰੀ ਫਾਈਲਾਂ ਦੀ ਇੱਕ ਸੀਮਤ ਗਿਣਤੀ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ ਜੋ ਪਾਈਥਨ-ਅਧਾਰਿਤ ELF ਬਾਈਨਰੀਆਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਸਹੂਲਤ ਦਿੰਦੀਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਫਾਈਲ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਲਈ ਗਲੋਬਸ਼ੇਲ ਅਤੇ ਮੋਜ਼ੀਲਾ ਫਾਇਰਫਾਕਸ ਬ੍ਰਾਊਜ਼ਰ ਤੋਂ ਸੈਸ਼ਨ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ PYSHELLFOX ਸ਼ਾਮਲ ਹਨ। ਲੀਨਕਸ-ਅਧਾਰਿਤ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਭਾਰਤੀ ਸਰਕਾਰੀ ਖੇਤਰ ਵਿੱਚ ਪ੍ਰਚਲਿਤ ਹਨ।

ਡੋਨੌਟ ਟੀਮ ਅਤੇ ਪਾਰਦਰਸ਼ੀ ਕਬੀਲੇ ਤੋਂ ਇਲਾਵਾ, ਏਸ਼ੀਆ-ਪ੍ਰਸ਼ਾਂਤ ਖੇਤਰ ਦਾ ਇੱਕ ਹੋਰ ਰਾਸ਼ਟਰ-ਰਾਜ ਅਦਾਕਾਰ ਪਾਕਿਸਤਾਨ ਵਿੱਚ ਇੱਕ ਖਾਸ ਦਿਲਚਸਪੀ ਨਾਲ ਉਭਰਿਆ ਹੈ। ਰਹੱਸਮਈ ਹਾਥੀ ਜਾਂ APT-K-47 ਦੇ ਨਾਂ ਨਾਲ ਜਾਣੇ ਜਾਂਦੇ ਇਸ ਅਦਾਕਾਰ ਨੂੰ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਇਹ ਮੁਹਿੰਮ ORPCBackdoor ਨਾਮਕ ਇੱਕ ਨਵਾਂ ਬੈਕਡੋਰ ਤੈਨਾਤ ਕਰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਪੀੜਤ ਦੇ ਕੰਪਿਊਟਰ 'ਤੇ ਫਾਈਲਾਂ ਅਤੇ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਅਤੇ ਫਾਈਲਾਂ ਅਤੇ ਕਮਾਂਡਾਂ ਨੂੰ ਭੇਜਣ ਜਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਖਤਰਨਾਕ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੁੰਦੀ ਹੈ।