Firebird Backdoor
Skupina hrozeb označená jako DoNot Team byla spojena s nasazením inovativního backdoor založeného na .NET známého jako Firebird. Tato zadní vrátka byla využita k zacílení na malý počet obětí v Pákistánu a Afghánistánu.
Výzkumníci v oblasti kybernetické bezpečnosti zjistili, že tyto útoky jsou nastaveny tak, aby nasadily downloader s názvem CSVtyrei, což je název odvozený od jeho podobnosti s Vtyrei. Vtyrei, také známý jako BREEZESUGAR, označuje počáteční fázi užitečného zatížení a variantu stahování, kterou dříve používal protivník k distribuci škodlivého rámce zvaného RTY.
Obsah
DoNot Team je aktivním aktérem kybernetické kriminality
DoNot Team, také známý jako APT-C-35, Origami Elephant a SECTOR02, je skupina APT (Advanced Persistent Threat), o níž se předpokládá, že má spojení s indickou vládou. Tato skupina působí minimálně od roku 2016 a existuje možnost, že její vznik předchází tomuto období.
Zdá se, že primárním cílem týmu DoNot je špionáž na podporu zájmů indické vlády. Výzkumníci v oblasti kybernetické bezpečnosti pozorovali několik kampaní, které tato skupina prováděla s tímto konkrétním cílem.
Zatímco první známý útok DoNot Team byl zaměřen na telekomunikační společnost v Norsku, jeho zaměření se primárně točí kolem špionáže v jižní Asii. Jejich hlavní oblastí zájmu je oblast Kašmíru, vzhledem k probíhajícímu kašmírskému konfliktu. Tento spor přetrvává již dlouhou dobu, Indie i Pákistán si nárokují suverenitu nad celým regionem, i když každý ovládá jen část. Diplomatické snahy o dosažení trvalého řešení této otázky se zatím ukázaly jako neúspěšné.
DoNot Team se ve svých operacích zaměřuje především na subjekty spojené s vládami, ministerstvy zahraničních věcí, vojenskými organizacemi a ambasádami.
Firebird Backdoor je nový hrozivý nástroj nasazený týmem DoNot
Rozsáhlé zkoumání odhalilo přítomnost nového backdooru založeného na .NET označovaného jako Firebird. Tento backdoor se skládá z primárního zavaděče a minimálně tří pluginů. Je pozoruhodné, že všechny analyzované vzorky vykazovaly silnou ochranu prostřednictvím ConfuserEx, což vedlo k extrémně nízké míře detekce. Některé části kódu v ukázkách se navíc zdály nefunkční, což naznačovalo probíhající vývojové aktivity.
Oblast jižní Asie je semeništěm aktivit v oblasti počítačové kriminality
Byly pozorovány škodlivé aktivity týkající se pákistánského kmene Transparent Tribe, známého také jako APT36, zaměřeného na sektory v rámci indické vlády. Použili aktualizovaný arzenál malwaru, který obsahuje dříve nezdokumentovaný trojan Windows s názvem ElizaRAT.
Transparent Tribe, fungující od roku 2013, se zabývá shromažďováním pověření a útoky na distribuci malwaru. Často distribuují trojanizované instalační programy indických vládních aplikací, jako je vícefaktorové ověřování Kavach. Kromě toho využili open-source rámce příkazů a řízení (C2), jako je Mythic.
Pozoruhodné je, že Transparent Tribe rozšířilo své zaměření na systémy Linux. Výzkumníci identifikovali omezený počet vstupních souborů na ploše, které usnadňují spouštění binárních souborů ELF založených na Pythonu, včetně GLOBSHELL pro exfiltraci souborů a PYSHELLFOX pro extrahování dat relací z prohlížeče Mozilla Firefox. V indickém vládním sektoru převládají operační systémy založené na Linuxu.
Kromě DoNot Teamu a Transparent Tribe se objevil další národní státní představitel z asijsko-pacifické oblasti, který má zvláštní zájem o Pákistán. Tento herec, známý jako Mysterious Elephant nebo APT-K-47, byl napojen na spear-phishingovou kampaň. Tato kampaň využívá nová zadní vrátka nazvaná ORPCBackdoor, která má schopnost spouštět soubory a příkazy na počítači oběti a komunikovat se škodlivým serverem za účelem odesílání nebo přijímání souborů a příkazů.
