Firebird Backdoor
Группа угроз, известная как DoNot Team, связана с развертыванием инновационного бэкдора на базе .NET, известного как Firebird. Этот бэкдор использовался для нападения на небольшое количество жертв, находящихся в Пакистане и Афганистане.
Исследователи кибербезопасности установили, что эти атаки направлены на развертывание загрузчика под названием CSVtyrei, название которого происходит из-за его сходства с Vtyrei. Vtyrei, также известный как BREEZESUGAR, обозначает вариант полезной нагрузки и загрузчика начальной стадии, ранее использовавшийся злоумышленником для распространения вредоносной среды под названием RTY.
Оглавление
Команда DoNot — активный участник угроз киберпреступности
DoNot Team, также известная как APT-C-35, Origami Elephant и SECTOR02, представляет собой группу Advanced Persistent Threat (APT), которая, как полагают, связана с правительством Индии. Эта группа активна как минимум с 2016 года, и есть вероятность, что ее формирование произошло еще до этого периода.
Основной целью DoNot Team, судя по всему, является шпионаж в поддержку интересов индийского правительства. Исследователи кибербезопасности наблюдали за многочисленными кампаниями, проводимыми этой группой с этой конкретной целью.
Хотя первоначальная известная атака DoNot Team была нацелена на телекоммуникационную компанию в Норвегии, ее основное внимание сосредоточено на шпионаже в Южной Азии. Их основной сферой интересов является Кашмирский регион, учитывая продолжающийся Кашмирский конфликт. Этот спор продолжается уже долгое время: и Индия, и Пакистан заявляют о суверенитете над всем регионом, хотя каждый из них контролирует лишь его часть. Дипломатические усилия по достижению прочного решения этого вопроса пока оказались безуспешными.
DoNot Team в своей деятельности в первую очередь нацелена на организации, связанные с правительствами, министерствами иностранных дел, военными организациями и посольствами.
Firebird Backdoor — новый инструмент угроз, разработанный командой DoNot
Обширная проверка выявила наличие нового бэкдора на базе .NET под названием Firebird. Этот бэкдор состоит из основного загрузчика и как минимум трех плагинов. Примечательно, что все проанализированные образцы продемонстрировали надежную защиту благодаря ConfuserEx, что привело к чрезвычайно низкому уровню обнаружения. Кроме того, некоторые разделы кода в примерах оказались неработоспособными, что свидетельствует о продолжающихся разработках.
Регион Южной Азии является рассадником киберпреступности
Были замечены вредоносные действия с участием базирующегося в Пакистане «Прозрачного племени», также известного как APT36, направленного против секторов в правительстве Индии. Они использовали обновленный арсенал вредоносного ПО, в который входит ранее недокументированный троян для Windows под названием ElizaRAT.
Компания Transparent Tribe, действующая с 2013 года, занимается сбором учетных данных и атаками по распространению вредоносного ПО. Они часто распространяют зараженные троянами установщики индийских правительственных приложений, таких как многофакторная аутентификация Kavach. Кроме того, они использовали системы управления и контроля (C2) с открытым исходным кодом, такие как Mythic.
Примечательно, что Transparent Tribe расширила свое внимание на системы Linux. Исследователи выявили ограниченное количество файлов входа на рабочий стол, которые облегчают выполнение двоичных файлов ELF на основе Python, включая GLOBSHELL для эксфильтрации файлов и PYSHELLFOX для извлечения данных сеанса из браузера Mozilla Firefox. Операционные системы на базе Linux широко распространены в государственном секторе Индии.
Помимо DoNot Team и Transparent Tribe, появился еще один участник национального государства из Азиатско-Тихоокеанского региона, проявляющий особый интерес к Пакистану. Этот актер, известный как Таинственный слон или APT-K-47, был связан с кампанией целевого фишинга. В этой кампании используется новый бэкдор под названием ORPCBackdoor, который позволяет выполнять файлы и команды на компьютере жертвы и взаимодействовать с вредоносным сервером для отправки или получения файлов и команд.
