Firebird Backdoor
El grup d'amenaces identificat com a DoNot Team s'ha associat amb el desplegament d'una porta posterior innovadora basada en .NET coneguda com Firebird. Aquesta porta del darrere s'ha utilitzat per apuntar a un petit nombre de víctimes ubicades al Pakistan i l'Afganistan.
Els investigadors de ciberseguretat han identificat que aquests atacs estan configurats per desplegar un descarregador anomenat CSVtyrei, un nom derivat de les seves similituds amb Vtyrei. Vtyrei, també conegut com BREEZESUGAR, denota una variant de càrrega útil i de descàrrega de l'etapa inicial utilitzada anteriorment per l'adversari per distribuir un marc maliciós anomenat RTY.
Taula de continguts
DoNot Team és un actor actiu d’amenaça de cibercrim
DoNot Team, també conegut com APT-C-35, Origami Elephant i SECTOR02, és un grup d'amenaça persistent avançada (APT) que es creu que té afiliacions amb el govern indi. Aquest grup està actiu almenys des de l'any 2016, i hi ha la possibilitat que la seva formació sigui anterior a aquest període.
L'objectiu principal de DoNot Team sembla ser l'espionatge en suport dels interessos del govern indi. Els investigadors de ciberseguretat han observat múltiples campanyes realitzades per aquest grup amb aquest objectiu concret.
Tot i que l'atac inicial conegut de DoNot Team va apuntar a una empresa de telecomunicacions a Noruega, el seu enfocament gira principalment al voltant de l'espionatge al sud d'Àsia. La seva principal àrea d'interès és la regió del Caixmir, atès el conflicte del Caixmir en curs. Aquesta disputa ha perdurat durant molt de temps, amb l'Índia i el Pakistan reclamant la sobirania sobre tota la regió, tot i que cadascun només controla una part. Els esforços diplomàtics per arribar a una solució duradora a aquest problema fins ara no han tingut èxit.
DoNot Team s'adreça principalment a entitats associades amb governs, ministeris d'afers exteriors, organitzacions militars i ambaixades en les seves operacions.
Firebird Backdoor és una nova eina amenaçadora desplegada per l’equip DoNot
Un examen exhaustiu ha revelat la presència d'una nova porta posterior basada en .NET anomenada Firebird. Aquesta porta del darrere consta d'un carregador principal i un mínim de tres connectors. En particular, totes les mostres analitzades van mostrar una forta protecció mitjançant ConfuserEx, la qual cosa va provocar una taxa de detecció extremadament baixa. A més, algunes seccions del codi de les mostres semblaven no operatives, cosa que suggereix activitats de desenvolupament en curs.
La regió d’Àsia Meridional és un focus d’activitats de ciberdelinqüència
S'han observat activitats malicioses que involucren la Tribu Transparent, amb seu al Pakistan, també coneguda com APT36, dirigides a sectors del govern indi. Han emprat un arsenal de programari maliciós actualitzat, que inclou un troià de Windows anteriorment indocumentat anomenat ElizaRAT.
Transparent Tribe, operatiu des del 2013, ha participat en atacs de recollida de credencials i distribució de programari maliciós. Sovint distribueixen instal·ladors troianitzats d'aplicacions del govern indi com l'autenticació multifactor Kavach. A més, han aprofitat marcs de comandament i control (C2) de codi obert, com Mythic.
En particular, Transparent Tribe ha ampliat el seu enfocament als sistemes Linux. Els investigadors han identificat un nombre limitat de fitxers d'entrada d'escriptori que faciliten l'execució de binaris ELF basats en Python, inclòs GLOBSHELL per a l'exfiltració de fitxers i PYSHELLFOX per extreure dades de sessió del navegador Mozilla Firefox. Els sistemes operatius basats en Linux són predominants al sector governamental indi.
A més de DoNot Team i Transparent Tribe, ha sorgit un altre actor estatal de la regió Àsia-Pacífic amb un interès particular al Pakistan. Aquest actor, conegut com Mysterious Elephant o APT-K-47, ha estat vinculat a una campanya de pesca amb lanza. Aquesta campanya desplega una nova porta del darrere anomenada ORPBackdoor, que té la capacitat d'executar fitxers i ordres a l'ordinador de la víctima i comunicar-se amb un servidor maliciós per enviar o rebre fitxers i ordres.
