ประตูหลัง Firebird

กลุ่มภัยคุกคามที่ระบุว่าเป็นทีม DoNot มีความเกี่ยวข้องกับการปรับใช้แบ็คดอร์ที่เป็นนวัตกรรมใหม่บน .NET ที่รู้จักกันในชื่อ Firebird ประตูหลังนี้ถูกใช้เพื่อกำหนดเป้าหมายเหยื่อจำนวนไม่มากที่อยู่ในปากีสถานและอัฟกานิสถาน

นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุว่าการโจมตีเหล่านี้ได้รับการตั้งค่าให้ใช้งานตัวดาวน์โหลดที่เรียกว่า CSVtyrei ซึ่งเป็นชื่อที่มาจากความคล้ายคลึงกับ Vtyrei Vtyrei หรือที่รู้จักกันในชื่อ BREEZESUGAR หมายถึงเพย์โหลดในระยะเริ่มแรกและตัวแปรดาวน์โหลดที่ก่อนหน้านี้ฝ่ายตรงข้ามใช้เพื่อเผยแพร่เฟรมเวิร์กที่เป็นอันตรายที่เรียกว่า RTY

DoNot Team เป็นผู้ดำเนินการด้านภัยคุกคามทางไซเบอร์ที่กระตือรือร้น

DoNot Team หรือที่รู้จักในชื่อ APT-C-35, Origami Elephant และ SECTOR02 เป็นกลุ่มภัยคุกคามขั้นสูง (APT) ที่เชื่อกันว่ามีความเกี่ยวข้องกับรัฐบาลอินเดีย กลุ่มนี้เปิดใช้งานมาอย่างน้อยตั้งแต่ปี 2559 และมีความเป็นไปได้ที่กลุ่มจะเกิดขึ้นก่อนช่วงเวลานี้

วัตถุประสงค์หลักของ DoNot Team ดูเหมือนจะเป็นการจารกรรมเพื่อสนับสนุนผลประโยชน์ของรัฐบาลอินเดีย นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้สังเกตแคมเปญหลายแคมเปญที่ดำเนินการโดยกลุ่มนี้โดยคำนึงถึงเป้าหมายเฉพาะนี้

แม้ว่าการโจมตีครั้งแรกของ DoNot Team จะมุ่งเป้าไปที่บริษัทโทรคมนาคมในนอร์เวย์ แต่การโจมตีดังกล่าวมุ่งเน้นไปที่การจารกรรมในเอเชียใต้เป็นหลัก พื้นที่หลักที่พวกเขาสนใจคือภูมิภาคแคชเมียร์ เนื่องจากความขัดแย้งในแคชเมียร์ที่กำลังดำเนินอยู่ ข้อพิพาทนี้ยังคงมีอยู่เป็นเวลานาน โดยทั้งอินเดียและปากีสถานอ้างอำนาจอธิปไตยเหนือภูมิภาคทั้งหมด แม้ว่าแต่ละฝ่ายจะควบคุมเพียงบางส่วนก็ตาม ความพยายามทางการทูตในการแก้ไขปัญหานี้อย่างยาวนานได้รับการพิสูจน์แล้วว่าไม่ประสบความสำเร็จ

DoNot Team มุ่งเป้าไปที่หน่วยงานที่เกี่ยวข้องกับรัฐบาล กระทรวงการต่างประเทศ องค์กรทหาร และสถานทูตในการดำเนินงานเป็นหลัก

Firebird Backdoor เป็นเครื่องมือคุกคามรูปแบบใหม่ที่ใช้งานโดยทีมงาน DoNot

การตรวจสอบอย่างละเอียดเผยให้เห็นถึงการมีอยู่ของแบ็คดอร์ที่ใช้ .NET ใหม่ที่เรียกว่า Firebird ประตูหลังนี้ประกอบด้วยตัวโหลดหลักและปลั๊กอินอย่างน้อยสามตัว โดยเฉพาะอย่างยิ่ง ตัวอย่างที่วิเคราะห์ทั้งหมดมีการป้องกันที่แข็งแกร่งผ่าน ConfuserEx ซึ่งนำไปสู่อัตราการตรวจจับที่ต่ำมาก นอกจากนี้ บางส่วนของโค้ดภายในตัวอย่างดูเหมือนจะใช้งานไม่ได้ ซึ่งบ่งบอกถึงกิจกรรมการพัฒนาที่กำลังดำเนินอยู่

ภูมิภาคเอเชียใต้เป็นแหล่งรวมอาชญากรรมทางไซเบอร์

มีการตรวจพบกิจกรรมที่เป็นอันตรายที่เกี่ยวข้องกับชนเผ่าโปร่งใสซึ่งมีฐานอยู่ในปากีสถาน หรือที่รู้จักในชื่อ APT36 โดยกำหนดเป้าหมายไปที่ภาคส่วนต่างๆ ภายในรัฐบาลอินเดีย พวกเขาใช้คลังแสงมัลแวร์ที่อัปเดต ซึ่งรวมถึงโทรจัน Windows ที่ไม่มีเอกสารก่อนหน้านี้ชื่อ ElizaRAT

Transparent Tribe ซึ่งดำเนินการมาตั้งแต่ปี 2556 มีส่วนร่วมในการเก็บเกี่ยวข้อมูลประจำตัวและการโจมตีการกระจายมัลแวร์ พวกเขามักจะแจกจ่ายตัวติดตั้งโทรจันของแอปพลิเคชันของรัฐบาลอินเดีย เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัยของ Kavach นอกจากนี้ พวกเขายังได้ใช้ประโยชน์จากเฟรมเวิร์กคำสั่งและการควบคุมแบบโอเพ่นซอร์ส (C2) เช่น Mythic

โดยเฉพาะอย่างยิ่ง Transparent Tribe ได้ขยายการมุ่งเน้นไปที่ระบบ Linux นักวิจัยได้ระบุไฟล์รายการเดสก์ท็อปจำนวนจำกัดที่อำนวยความสะดวกในการดำเนินการไบนารี ELF ที่ใช้ Python รวมถึง GLOBSHELL สำหรับการกรองไฟล์และ PYSHELLFOX สำหรับการดึงข้อมูลเซสชันจากเบราว์เซอร์ Mozilla Firefox ระบบปฏิบัติการบน Linux แพร่หลายในภาครัฐของอินเดีย

นอกจาก DoNot Team และ Transparent Tribe แล้ว ยังมีนักแสดงระดับรัฐอีกรายจากภูมิภาคเอเชียแปซิฟิกที่มีความสนใจเป็นพิเศษในปากีสถาน นักแสดงคนนี้รู้จักกันในชื่อ Mysterious Elephant หรือ APT-K-47 ซึ่งเชื่อมโยงกับแคมเปญฟิชชิ่งแบบหอก แคมเปญนี้ใช้แบ็คดอร์ตัวใหม่ที่เรียกว่า ORPCBackdoor ซึ่งมีความสามารถในการรันไฟล์และคำสั่งบนคอมพิวเตอร์ของเหยื่อ และสื่อสารกับเซิร์ฟเวอร์ที่เป็นอันตรายเพื่อส่งหรือรับไฟล์และคำสั่ง