Firebird Backdoor
Група загроз, визначена як DoNot Team, була пов’язана з розгортанням інноваційного бекдору на основі .NET, відомого як Firebird. Цей бекдор використовувався для нападу на невелику кількість жертв у Пакистані та Афганістані.
Дослідники з кібербезпеки визначили, що ці атаки спрямовані на розгортання завантажувача під назвою CSVtyrei, назва якого походить від його схожості з Vtyrei. Vtyrei, також відомий як BREEZESUGAR, позначає початкову стадію корисного навантаження та варіант завантажувача, який раніше використовувався зловмисником для розповсюдження шкідливого середовища під назвою RTY.
Зміст
Команда DoNot є активним учасником загроз кіберзлочинності
Команда DoNot, також відома як APT-C-35, Origami Elephant і SECTOR02, є групою Advanced Persistent Threat (APT), яка, як вважають, пов’язана з урядом Індії. Ця група діє принаймні з 2016 року, і існує ймовірність, що її формування передує цьому періоду.
Схоже, головною метою DoNot Team є шпигунство на підтримку інтересів індійського уряду. Дослідники кібербезпеки спостерігали за кількома кампаніями, проведеними цією групою з цією конкретною метою.
Хоча початкова відома атака DoNot Team була спрямована на телекомунікаційну компанію в Норвегії, її основна увага зосереджена на шпигунстві в Південній Азії. Їх головною сферою інтересів є регіон Кашмір, враховуючи поточний кашмірський конфлікт. Ця суперечка триває протягом тривалого часу, і Індія, і Пакистан претендують на суверенітет над усім регіоном, хоча кожна з них контролює лише частину. Дипломатичні спроби досягти тривалого вирішення цього питання поки що виявилися безуспішними.
У своїй діяльності DoNot Team націлена насамперед на організації, пов’язані з урядами, міністерствами закордонних справ, військовими організаціями та посольствами.
Firebird Backdoor — це новий загрозливий інструмент, розгорнутий командою DoNot
Ретельне дослідження виявило наявність нового бекдору на основі .NET, який називається Firebird. Цей бекдор складається з основного завантажувача та щонайменше трьох плагінів. Примітно, що всі проаналізовані зразки продемонстрували надійний захист через ConfuserEx, що призвело до надзвичайно низького рівня виявлення. Крім того, певні розділи коду у зразках виявилися неробочими, що свідчить про поточну діяльність із розробки.
Регіон Південної Азії є осередком кіберзлочинності
Було виявлено зловмисну діяльність із пакистанським Transparent Tribe, також відомим як APT36, спрямована на сектори індійського уряду. Вони застосували оновлений арсенал шкідливих програм, який включає раніше незадокументований троян Windows під назвою ElizaRAT.
Transparent Tribe, що працює з 2013 року, займається збиранням облікових даних і атаками з розповсюдження шкідливого програмного забезпечення. Вони часто розповсюджують троянські інсталятори державних програм Індії, таких як багатофакторна автентифікація Kavach. Крім того, вони використали фреймворки керування (C2) з відкритим кодом, такі як Mythic.
Примітно, що Transparent Tribe розширила свою увагу до систем Linux. Дослідники визначили обмежену кількість файлів входу на робочому столі, які полегшують виконання двійкових файлів ELF на основі Python, включаючи GLOBSHELL для вилучення файлів і PYSHELLFOX для вилучення даних сеансу з браузера Mozilla Firefox. Операційні системи на базі Linux поширені в урядовому секторі Індії.
Крім DoNot Team і Transparent Tribe, з’явився ще один національно-державний актор з Азіатсько-Тихоокеанського регіону, який особливо цікавиться Пакистаном. Цей актор, відомий як Mysterious Elephant або APT-K-47, був пов’язаний із кампанією з фішингу. Ця кампанія розгортає новий бекдор під назвою ORPCBackdoor, який має можливість виконувати файли та команди на комп’ютері жертви та спілкуватися зі шкідливим сервером для надсилання та отримання файлів і команд.
