Firebird Backdoor
Hotgruppen som identifierats som DoNot Team har associerats med utplaceringen av en innovativ .NET-baserad bakdörr känd som Firebird. Denna bakdörr har använts för att rikta in sig på ett litet antal offer i Pakistan och Afghanistan.
Cybersäkerhetsforskare har identifierat att dessa attacker är inrättade för att distribuera en nedladdare som heter CSVtyrei, ett namn som kommer från dess likheter med Vtyrei. Vtyrei, även känd som BREEZESUGAR, betecknar en inledande nyttolast- och nedladdningsvariant som tidigare använts av motståndaren för att distribuera ett skadligt ramverk som kallas RTY.
Innehållsförteckning
DoNot Team är en aktiv aktör för hot mot cyberbrott
DoNot Team, även känd som APT-C-35, Origami Elephant och SECTOR02, är en Advanced Persistent Threat-grupp (APT) som tros ha anknytning till den indiska regeringen. Denna grupp har varit aktiv sedan åtminstone 2016, och det finns en möjlighet att dess bildande är före denna period.
Det primära målet för DoNot Team verkar vara spionage till stöd för den indiska regeringens intressen. Cybersäkerhetsforskare har observerat flera kampanjer som genomförts av denna grupp med detta specifika mål i åtanke.
Medan DoNot Teams första kända attack riktade sig mot ett telekommunikationsföretag i Norge, kretsar dess fokus främst kring spionage i Sydasien. Deras huvudsakliga intresseområde är Kashmirregionen, med tanke på den pågående Kashmirkonflikten. Denna tvist har pågått under lång tid, med både Indien och Pakistan som hävdar suveränitet över hela regionen, även om de var och en bara kontrollerar en del. Diplomatiska ansträngningar för att nå en varaktig lösning på denna fråga har hittills visat sig vara misslyckade.
DoNot Team riktar sig i första hand till enheter associerade med regeringar, utrikesministerier, militära organisationer och ambassader i sin verksamhet.
Firebird Backdoor är ett nytt hotfullt verktyg som distribueras av DoNot-teamet
En omfattande undersökning har avslöjat förekomsten av en ny .NET-baserad bakdörr som kallas Firebird. Denna bakdörr består av en primär laddare och minst tre plugins. Alla analyserade prover uppvisade ett starkt skydd genom ConfuserEx, vilket ledde till en extremt låg detekteringshastighet. Dessutom verkade vissa avsnitt av koden i proverna icke-operativa, vilket tyder på pågående utvecklingsaktiviteter.
Regionen i Sydasien är en grodd för cyberbrottsaktiviteter
Skadliga aktiviteter har observerats som involverar den Pakistan-baserade Transparent Tribe, även känd som APT36, som riktar sig till sektorer inom den indiska regeringen. De har använt en uppdaterad malwarearsenal, som inkluderar en tidigare odokumenterad Windows-trojan vid namn ElizaRAT.
Transparent Tribe, som har varit i drift sedan 2013, har ägnat sig åt insamling av autentiseringsuppgifter och distributionsattacker av skadlig programvara. De distribuerar ofta trojaniserade installatörer av indiska regeringsapplikationer som Kavach multifaktorautentisering. Dessutom har de utnyttjat ramverk för kommando-och-kontroll (C2) med öppen källkod, som Mythic.
Noterbart har Transparent Tribe utökat sitt fokus till Linux-system. Forskare har identifierat ett begränsat antal skrivbordsingångsfiler som underlättar exekveringen av Python-baserade ELF-binärfiler, inklusive GLOBSHELL för filexfiltrering och PYSHELLFOX för att extrahera sessionsdata från webbläsaren Mozilla Firefox. Linux-baserade operativsystem är vanliga inom den indiska statliga sektorn.
Förutom DoNot Team och Transparent Tribe har en annan nationalstatlig aktör från Asien-Stillahavsområdet dykt upp med ett särskilt intresse för Pakistan. Den här skådespelaren, känd som Mysterious Elephant eller APT-K-47, har kopplats till en spjutfiskekampanj. Denna kampanj distribuerar en ny bakdörr som heter ORPCBackdoor, som har förmågan att köra filer och kommandon på offrets dator och kommunicera med en skadlig server för att skicka eller ta emot filer och kommandon.
