Firebird Backdoor
Grupa zagrożeń zidentyfikowana jako DoNot Team została powiązana z wdrożeniem innowacyjnego backdoora opartego na platformie .NET, znanego jako Firebird. Tego backdoora wykorzystano do ataku na niewielką liczbę ofiar znajdujących się w Pakistanie i Afganistanie.
Badacze zajmujący się cyberbezpieczeństwem ustalili, że ataki te mają na celu wdrożenie modułu pobierania o nazwie CSVtyrei, którego nazwa wywodzi się z podobieństwa do Vtyrei. Vtyrei, znany również jako BREEZESUGAR, oznacza wariant ładunku i modułu pobierania w początkowej fazie, używany wcześniej przez przeciwnika do dystrybucji szkodliwego środowiska zwanego RTY.
Spis treści
Zespół DoNot jest aktywnym podmiotem zajmującym się zagrożeniami cyberprzestępczymi
DoNot Team, znany również jako APT-C-35, Origami Elephant i SECTOR02, to grupa zajmująca się zaawansowanymi trwałymi zagrożeniami (APT), prawdopodobnie powiązana z rządem Indii. Grupa ta działa co najmniej od 2016 roku i istnieje możliwość, że powstała jeszcze przed tym okresem.
Wydaje się, że głównym celem DoNot Team jest szpiegostwo na rzecz interesów rządu indyjskiego. Badacze cyberbezpieczeństwa zaobserwowali wiele kampanii prowadzonych przez tę grupę z myślą o tym konkretnym celu.
Chociaż początkowy znany atak zespołu DoNot był wymierzony w firmę telekomunikacyjną w Norwegii, jego celem było przede wszystkim szpiegostwo w Azji Południowej. Ich głównym obszarem zainteresowań jest region Kaszmiru, biorąc pod uwagę trwający konflikt kaszmirski. Spór ten trwa od dawna, a Indie i Pakistan rości sobie prawo do suwerenności nad całym regionem, mimo że każde z nich kontroluje tylko jego część. Dyplomatyczne wysiłki mające na celu osiągnięcie trwałego rozwiązania tej kwestii okazały się jak dotąd nieskuteczne.
DoNot Team atakuje przede wszystkim podmioty powiązane w swojej działalności z rządami, ministerstwami spraw zagranicznych, organizacjami wojskowymi i ambasadami.
Backdoor Firebird to nowe narzędzie służące do tworzenia zagrożeń wdrożone przez zespół DoNot
Dokładne badanie ujawniło obecność nowego backdoora opartego na platformie .NET, zwanego Firebird. Ten backdoor składa się z głównego modułu ładującego i co najmniej trzech wtyczek. Warto zauważyć, że wszystkie analizowane próbki wykazały silną ochronę poprzez ConfuserEx, co doprowadziło do wyjątkowo niskiego współczynnika wykrywalności. Ponadto niektóre sekcje kodu w próbkach okazały się niefunkcjonalne, co sugeruje trwające prace rozwojowe.
Region Azji Południowej jest wylęgarnią działań cyberprzestępczych
Zaobserwowano złośliwe działania z udziałem pakistańskiej grupy Transparent Tribe, znanej również jako APT36, których celem są sektory indyjskiego rządu. Wykorzystali zaktualizowany arsenał złośliwego oprogramowania, który obejmuje wcześniej nieudokumentowanego trojana dla systemu Windows o nazwie ElizaRAT.
Transparent Tribe, działający od 2013 roku, zajmuje się atakami polegającymi na zbieraniu danych uwierzytelniających i dystrybucji złośliwego oprogramowania. Często dystrybuują trojanizowane instalatory aplikacji rządu indyjskiego, takie jak uwierzytelnianie wieloskładnikowe Kavach. Ponadto wykorzystali platformy dowodzenia i kontroli (C2) typu open source, takie jak Mythic.
Warto zauważyć, że Transparent Tribe rozszerzyło swoją działalność na systemy Linux. Badacze zidentyfikowali ograniczoną liczbę plików wejściowych na pulpicie, które ułatwiają wykonywanie plików binarnych ELF opartych na języku Python, w tym GLOBSHELL do wydobywania plików i PYSHELLFOX do wyodrębniania danych sesji z przeglądarki Mozilla Firefox. Systemy operacyjne oparte na systemie Linux są powszechne w indyjskim sektorze rządowym.
Oprócz zespołów DoNot Team i Transparent Tribe pojawił się inny podmiot reprezentujący państwo narodowe z regionu Azji i Pacyfiku, który szczególnie interesuje się Pakistanem. Aktor ten, znany jako Mysterious Elephant lub APT-K-47, został powiązany z kampanią spear-phishingu. W ramach tej kampanii wdrażany jest nowatorski backdoor o nazwie ORPCBackdoor, który może wykonywać pliki i polecenia na komputerze ofiary oraz komunikować się ze złośliwym serwerem w celu wysyłania lub odbierania plików i poleceń.
