Firebird Backdoor
Grupul de amenințări identificat ca DoNot Team a fost asociat cu implementarea unei uși inovatoare bazate pe .NET, cunoscută sub numele de Firebird. Această ușă din spate a fost folosită pentru a viza un număr mic de victime situate în Pakistan și Afganistan.
Cercetătorii în domeniul securității cibernetice au identificat că aceste atacuri sunt configurate pentru a implementa un descărcator numit CSVtyrei, un nume derivat din asemănările sale cu Vtyrei. Vtyrei, cunoscut și sub numele de BREEZESUGAR, denotă o variantă de încărcare utilă și descărcare în stadiu inițial folosită anterior de adversar pentru a distribui un cadru rău intenționat numit RTY.
Cuprins
Echipa DoNot este un actor activ în amenințarea criminalității cibernetice
Echipa DoNot, cunoscută și sub numele de APT-C-35, Origami Elephant și SECTOR02, este un grup Advanced Persistent Threat (APT) despre care se crede că are afilieri cu guvernul indian. Acest grup este activ cel puțin din 2016 și există posibilitatea ca formarea sa să fie anterioară acestei perioade.
Obiectivul principal al echipei DoNot pare să fie spionajul în sprijinul intereselor guvernului indian. Cercetătorii în domeniul securității cibernetice au observat mai multe campanii desfășurate de acest grup având în vedere acest obiectiv specific.
În timp ce atacul inițial cunoscut al DoNot Team a vizat o companie de telecomunicații din Norvegia, concentrarea sa se concentrează în primul rând în jurul spionajului în Asia de Sud. Principala lor zonă de interes este regiunea Kashmir, având în vedere conflictul Kashmir aflat în desfășurare. Această dispută a persistat de mult timp, atât India, cât și Pakistanul pretinzând suveranitatea asupra întregii regiuni, chiar dacă fiecare controlează doar o parte. Eforturile diplomatice de a ajunge la o soluție de durată a acestei probleme s-au dovedit până acum eșuate.
DoNot Team vizează în primul rând entitățile asociate cu guvernele, ministerele de externe, organizațiile militare și ambasadele în operațiunile sale.
Firebird Backdoor este un nou instrument de amenințare implementat de echipa DoNot
O examinare amănunțită a dezvăluit prezența unei noi backdoor bazate pe .NET, numită Firebird. Această ușă din spate constă dintr-un încărcător primar și un minim de trei plugin-uri. În special, toate mostrele analizate au prezentat o protecție puternică prin ConfuserEx, ceea ce duce la o rată de detecție extrem de scăzută. În plus, anumite secțiuni ale codului din eșantioane păreau neoperaționale, sugerând activități de dezvoltare în curs.
Regiunea Asia de Sud este un focar pentru activități de criminalitate cibernetică
Au fost observate activități rău intenționate care implică Tribul Transparent din Pakistan, cunoscut și sub numele de APT36, care vizează sectoare din cadrul guvernului indian. Ei au folosit un arsenal de malware actualizat, care include un troian Windows nedocumentat anterior, numit ElizaRAT.
Transparent Tribe, operațional din 2013, s-a implicat în colectarea de acreditări și atacuri de distribuire de malware. Ei distribuie adesea instalatori troieni ai aplicațiilor guvernamentale indiene, cum ar fi autentificarea multi-factor Kavach. În plus, au folosit cadre de comandă și control (C2) open-source, cum ar fi Mythic.
În special, Transparent Tribe și-a extins atenția asupra sistemelor Linux. Cercetătorii au identificat un număr limitat de fișiere de intrare pe desktop care facilitează execuția binarelor ELF bazate pe Python, inclusiv GLOBSHELL pentru exfiltrarea fișierelor și PYSHELLFOX pentru extragerea datelor de sesiune din browserul Mozilla Firefox. Sistemele de operare bazate pe Linux sunt predominante în sectorul guvernamental indian.
Pe lângă echipa DoNot și Transparent Tribe, a apărut un alt actor de stat național din regiunea Asia-Pacific, cu un interes deosebit pentru Pakistan. Acest actor, cunoscut sub numele de Mysterious Elephant sau APT-K-47, a fost legat de o campanie de spear-phishing. Această campanie implementează un nou backdoor numit ORPBackdoor, care are capacitatea de a executa fișiere și comenzi pe computerul victimei și de a comunica cu un server rău intenționat pentru a trimite sau primi fișiere și comenzi.
