Firebird Backdoor
Grupi i kërcënimit i identifikuar si DoNot Team është shoqëruar me vendosjen e një porta të pasme inovative të bazuar në .NET të njohur si Firebird. Kjo derë e pasme është përdorur për të synuar një numër të vogël viktimash të vendosura në Pakistan dhe Afganistan.
Studiuesit e sigurisë kibernetike kanë identifikuar se këto sulme janë krijuar për të vendosur një shkarkues të quajtur CSVtyrei, një emër që rrjedh nga ngjashmëritë e tij me Vtyrei. Vtyrei, i njohur gjithashtu si BREEZESUGAR, tregon një variant të ngarkesës dhe shkarkimit të fazës fillestare të përdorur më parë nga kundërshtari për të shpërndarë një kornizë me qëllim të keq të quajtur RTY.
Tabela e Përmbajtjes
DoNot Team është një aktor aktiv i kërcënimit të krimit kibernetik
DoNot Team, i njohur gjithashtu si APT-C-35, Origami Elephant dhe SECTOR02, është një grup Kërcënimi i Përparuar i Përhershëm (APT) që besohet se ka lidhje me qeverinë indiane. Ky grup është aktiv të paktën që nga viti 2016 dhe ekziston mundësia që formimi i tij të jetë para kësaj periudhe.
Objektivi kryesor i DoNot Team duket të jetë spiunazhi në mbështetje të interesave të qeverisë indiane. Studiuesit e sigurisë kibernetike kanë vëzhguar fushata të shumta të kryera nga ky grup me këtë qëllim specifik në mendje.
Ndërsa sulmi fillestar i njohur i DoNot Team kishte në shënjestër një kompani telekomunikacioni në Norvegji, fokusi i tij sillet kryesisht rreth spiunazhit në Azinë Jugore. Zona e tyre kryesore e interesit është rajoni i Kashmirit, duke pasur parasysh konfliktin e vazhdueshëm të Kashmirit. Ky mosmarrëveshje ka vazhduar për një kohë të gjatë, me Indinë dhe Pakistanin që pretendojnë sovranitet mbi të gjithë rajonin, edhe pse secili prej tyre kontrollon vetëm një pjesë. Përpjekjet diplomatike për të arritur një zgjidhje të qëndrueshme për këtë çështje deri më tani kanë rezultuar të pasuksesshme.
Ekipi DoNot synon kryesisht entitete të lidhura me qeveritë, ministritë e punëve të jashtme, organizatat ushtarake dhe ambasadat në operacionet e tij.
Firebird Backdoor është një mjet i ri kërcënues i vendosur nga ekipi DoNot
Një ekzaminim i gjerë ka zbuluar praninë e një dere të re të pasme me bazë .NET të referuar si Firebird. Kjo derë e pasme përbëhet nga një ngarkues kryesor dhe një minimum prej tre shtojcash. Veçanërisht, të gjitha mostrat e analizuara shfaqën mbrojtje të fortë përmes ConfuserEx, duke çuar në një shkallë jashtëzakonisht të ulët zbulimi. Për më tepër, disa seksione të kodit brenda mostrave u shfaqën jo funksionale, duke sugjeruar aktivitete të vazhdueshme zhvillimi.
Rajoni i Azisë Jugore është një vatër për aktivitetet e krimit kibernetik
Janë vërejtur aktivitete keqdashëse që përfshijnë Fisin Transparent me bazë në Pakistan, i njohur gjithashtu si APT36, duke synuar sektorë brenda qeverisë indiane. Ata kanë përdorur një arsenal të përditësuar malware, i cili përfshin një trojan Windows të padokumentuar më parë të quajtur ElizaRAT.
Transparent Tribe, funksional që nga viti 2013, është angazhuar në mbledhjen e kredencialeve dhe sulmet e shpërndarjes së malware. Ata shpesh shpërndajnë instalues të trojanizuar të aplikacioneve të qeverisë indiane si vërtetimi me shumë faktorë Kavach. Për më tepër, ata kanë shfrytëzuar kornizat komanduese dhe kontrolluese me burim të hapur (C2), të tilla si Mythic.
Veçanërisht, Transparent Tribe ka zgjeruar fokusin e tij në sistemet Linux. Studiuesit kanë identifikuar një numër të kufizuar skedarësh të hyrjes në desktop që lehtësojnë ekzekutimin e binarëve ELF të bazuara në Python, duke përfshirë GLOBSHELL për eksfiltrimin e skedarëve dhe PYSHELLFOX për nxjerrjen e të dhënave të sesionit nga shfletuesi Mozilla Firefox. Sistemet operative të bazuara në Linux janë të përhapura brenda sektorit të qeverisë indiane.
Përveç DoNot Team dhe Transparent Tribe, një tjetër aktor i shtetit-komb nga rajoni i Azi-Paqësorit është shfaqur me një interes të veçantë në Pakistan. Ky aktor, i njohur si Elephant Mysterious ose APT-K-47, ka qenë i lidhur me një fushatë spear-phishing. Kjo fushatë vendos një backdoor të ri të quajtur ORPCBackdoor, i cili ka aftësinë të ekzekutojë skedarë dhe komanda në kompjuterin e viktimës dhe të komunikojë me një server me qëllim të keq për të dërguar ose marrë skedarë dhe komanda.
