Firebird Backdoor
Nhóm đe dọa được xác định là DoNot Team có liên quan đến việc triển khai một cửa hậu dựa trên .NET cải tiến có tên là Firebird. Cửa hậu này đã được sử dụng để nhắm mục tiêu vào một số ít nạn nhân ở Pakistan và Afghanistan.
Các nhà nghiên cứu an ninh mạng đã xác định rằng các cuộc tấn công này được thiết lập để triển khai một trình tải xuống có tên CSVtyrei, một cái tên bắt nguồn từ sự tương đồng của nó với Vtyrei. Vtyrei, còn được gọi là BREEZESUGAR, biểu thị một biến thể tải xuống và tải trọng giai đoạn đầu trước đây được kẻ thù sử dụng để phân phối một khung độc hại có tên RTY.
Mục lục
Nhóm DoNot là tác nhân đe dọa tội phạm mạng tích cực
Nhóm DoNot, còn được gọi là APT-C-35, Origami Elephant và SECTOR02, là một nhóm Mối đe dọa dai dẳng nâng cao (APT) được cho là có liên kết với chính phủ Ấn Độ. Nhóm này đã hoạt động ít nhất từ năm 2016 và có khả năng sự hình thành của nó có trước thời kỳ này.
Mục tiêu chính của DoNot Team dường như là hoạt động gián điệp nhằm hỗ trợ lợi ích của chính phủ Ấn Độ. Các nhà nghiên cứu an ninh mạng đã quan sát nhiều chiến dịch do nhóm này thực hiện với mục tiêu cụ thể này.
Trong khi cuộc tấn công ban đầu được biết đến của DoNot Team nhắm vào một công ty viễn thông ở Na Uy, trọng tâm của nó chủ yếu xoay quanh hoạt động gián điệp ở Nam Á. Lĩnh vực quan tâm chính của họ là khu vực Kashmir do xung đột Kashmir đang diễn ra. Tranh chấp này đã tồn tại trong một thời gian dài, với việc cả Ấn Độ và Pakistan đều tuyên bố chủ quyền đối với toàn bộ khu vực, mặc dù mỗi bên chỉ kiểm soát một phần. Những nỗ lực ngoại giao nhằm đạt được một giải pháp lâu dài cho vấn đề này cho đến nay đã được chứng minh là không thành công.
DoNot Team chủ yếu nhắm vào các thực thể liên quan đến chính phủ, bộ ngoại giao, tổ chức quân sự và đại sứ quán trong hoạt động của mình.
Firebird Backdoor là một công cụ đe dọa mới được nhóm DoNot triển khai
Một cuộc kiểm tra mở rộng đã tiết lộ sự hiện diện của một cửa hậu dựa trên .NET mới có tên là Firebird. Cửa hậu này bao gồm một trình tải chính và tối thiểu ba plugin. Đáng chú ý, tất cả các mẫu được phân tích đều thể hiện khả năng bảo vệ mạnh mẽ thông qua ConfuserEx, dẫn đến tỷ lệ phát hiện cực kỳ thấp. Ngoài ra, một số phần mã nhất định trong các mẫu có vẻ không hoạt động, cho thấy các hoạt động phát triển đang diễn ra.
Khu vực Nam Á là điểm nóng cho các hoạt động tội phạm mạng
Các hoạt động độc hại đã được quan sát thấy liên quan đến Bộ lạc Minh bạch có trụ sở tại Pakistan, còn được gọi là APT36, nhắm mục tiêu vào các lĩnh vực trong chính phủ Ấn Độ. Họ đã sử dụng một kho phần mềm độc hại được cập nhật, bao gồm một trojan Windows không có giấy tờ trước đó có tên ElizaRAT.
Bộ lạc minh bạch, hoạt động từ năm 2013, đã tham gia vào các cuộc tấn công thu thập thông tin xác thực và phân phối phần mềm độc hại. Họ thường phân phối các trình cài đặt trojan của các ứng dụng của chính phủ Ấn Độ như xác thực đa yếu tố Kavach. Ngoài ra, họ còn tận dụng các khung lệnh và kiểm soát (C2) nguồn mở, chẳng hạn như Mythic.
Đáng chú ý, Transparent Tribe đã mở rộng trọng tâm sang các hệ thống Linux. Các nhà nghiên cứu đã xác định được một số lượng hạn chế các tệp mục nhập trên máy tính để bàn tạo điều kiện thuận lợi cho việc thực thi các tệp nhị phân ELF dựa trên Python, bao gồm GLOBSHELL để lọc tệp và PYSHELLFOX để trích xuất dữ liệu phiên từ trình duyệt Mozilla Firefox. Hệ điều hành dựa trên Linux rất phổ biến trong khu vực chính phủ Ấn Độ.
Ngoài Nhóm DoNot và Bộ lạc Minh bạch, một tổ chức quốc gia-nhà nước khác từ khu vực Châu Á - Thái Bình Dương cũng nổi lên với mối quan tâm đặc biệt đến Pakistan. Diễn viên này, được biết đến với cái tên Mysterious Elephant hay APT-K-47, có liên quan đến một chiến dịch lừa đảo trực tuyến. Chiến dịch này triển khai một cửa hậu mới có tên ORPCBackdoor, có khả năng thực thi các tệp và lệnh trên máy tính của nạn nhân và liên lạc với máy chủ độc hại để gửi hoặc nhận các tệp và lệnh.
