Firebird Backdoor
DoNot Team olarak tanımlanan tehdit grubu, Firebird olarak bilinen yenilikçi .NET tabanlı bir arka kapının konuşlandırılmasıyla ilişkilendirildi. Bu arka kapı Pakistan ve Afganistan'da bulunan az sayıda kurbanı hedeflemek için kullanıldı.
Siber güvenlik araştırmacıları, bu saldırıların, Vtyrei ile benzerliklerinden türetilen bir isim olan CSVtyrei adlı bir indiriciyi dağıtmak için ayarlandığını belirlediler. BREEZESUGAR olarak da bilinen Vtyrei, daha önce düşman tarafından RTY adı verilen kötü amaçlı bir çerçeveyi dağıtmak için kullanılan bir başlangıç aşaması yükünü ve indirme aracını ifade eder.
İçindekiler
DoNot Team Aktif bir Siber Suç Tehdit Aktörüdür
APT-C-35, Origami Elephant ve SECTOR02 olarak da bilinen DoNot Team, Hindistan hükümetiyle ilişkileri olduğuna inanılan bir Gelişmiş Kalıcı Tehdit (APT) grubudur. Bu grup en az 2016'dan beri aktiftir ve oluşumunun bu dönemden önceye dayanması ihtimali vardır.
DoNot Ekibinin temel amacı Hindistan hükümetinin çıkarlarını destekleyen casusluk gibi görünüyor. Siber güvenlik araştırmacıları, bu grup tarafından bu spesifik hedefi göz önünde bulundurarak yürütülen çok sayıda kampanyayı gözlemledi.
DoNot Team'in bilinen ilk saldırısı Norveç'teki bir telekomünikasyon şirketini hedef alsa da, odak noktası öncelikle Güney Asya'daki casusluk etrafında dönüyor. Devam eden Keşmir Çatışması göz önüne alındığında, ana ilgi alanları Keşmir bölgesidir. Bu anlaşmazlık uzun bir süre devam etti; hem Hindistan hem de Pakistan, her biri yalnızca bir kısmını kontrol etseler bile tüm bölge üzerinde egemenlik iddiasında bulundular. Bu soruna kalıcı bir çözüm bulmaya yönelik diplomatik çabalar şu ana kadar başarısız oldu.
DoNot Team, operasyonlarında öncelikli olarak hükümetlerle bağlantılı kurumları, dışişleri bakanlıklarını, askeri kuruluşları ve büyükelçilikleri hedef alıyor.
Firebird Backdoor, DoNot Ekibi Tarafından Kullanılan Yeni Bir Tehdit Aracıdır
Kapsamlı bir inceleme, Firebird olarak adlandırılan yeni bir .NET tabanlı arka kapının varlığını ortaya çıkardı. Bu arka kapı bir birincil yükleyiciden ve en az üç eklentiden oluşur. Özellikle analiz edilen tüm numuneler ConfuserEx aracılığıyla güçlü bir koruma sergiledi ve bu da son derece düşük bir tespit oranına yol açtı. Ek olarak, örneklerdeki kodun belirli bölümlerinin çalışır durumda olmadığı görüldü ve bu da geliştirme faaliyetlerinin devam ettiğini gösteriyor.
Güney Asya Bölgesi Siber Suç Faaliyetlerinin Yuvasıdır
APT36 olarak da bilinen Pakistan merkezli Şeffaf Kabile'nin Hindistan hükümeti içindeki sektörleri hedef alan kötü niyetli faaliyetleri gözlemlendi. ElizaRAT adlı daha önce belgelenmemiş bir Windows truva atını içeren güncellenmiş bir kötü amaçlı yazılım cephaneliği kullandılar.
2013'ten beri faaliyet gösteren Transparent Tribe, kimlik bilgisi toplama ve kötü amaçlı yazılım dağıtım saldırıları gerçekleştiriyor. Genellikle Kavach çok faktörlü kimlik doğrulama gibi Hindistan hükümeti uygulamalarının truva atı haline getirilmiş yükleyicilerini dağıtırlar. Ayrıca Mythic gibi açık kaynaklı komuta ve kontrol (C2) çerçevelerinden yararlandılar.
Özellikle, Transparent Tribe odağını Linux sistemlerine genişletti. Araştırmacılar, Python tabanlı ELF ikili dosyalarının yürütülmesini kolaylaştıran, dosya sızdırma için GLOBSHELL ve Mozilla Firefox tarayıcısından oturum verilerini ayıklamak için PYSHELLFOX dahil olmak üzere sınırlı sayıda masaüstü giriş dosyası belirlediler. Linux tabanlı işletim sistemleri Hindistan hükümet sektöründe yaygındır.
DoNot Team ve Transparent Tribe'ın yanı sıra Asya-Pasifik bölgesinden Pakistan'a özel ilgi duyan bir başka ulus devlet aktörü daha ortaya çıktı. Gizemli Fil veya APT-K-47 olarak bilinen bu aktör, bir hedef odaklı kimlik avı kampanyasıyla ilişkilendirildi. Bu kampanya, kurbanın bilgisayarında dosya ve komutları yürütme ve dosya ve komut göndermek veya almak için kötü amaçlı bir sunucuyla iletişim kurma yeteneğine sahip olan ORPCBackdoor adlı yeni bir arka kapı kullanıyor.
