Firebird Backdoor
DoNot Teamiksi tunnistettu uhkaryhmä on liitetty Firebird-nimisen innovatiivisen .NET-pohjaisen takaoven käyttöön. Tätä takaovea on käytetty kohdistamaan pieni määrä uhreja Pakistanissa ja Afganistanissa.
Kyberturvallisuustutkijat ovat havainneet, että nämä hyökkäykset on suunniteltu lataamaan CSVtyrei-niminen latausohjelma, jonka nimi on johdettu sen samankaltaisuuksista Vtyreiin. Vtyrei, joka tunnetaan myös nimellä BREEZESUGAR, tarkoittaa alkuvaiheen hyötykuorman ja latausohjelman varianttia, jota vastustaja käytti aiemmin RTY-nimisen haitallisen kehyksen jakamiseen.
Sisällysluettelo
DoNot Team on aktiivinen kyberrikollisuuden uhkatekijä
DoNot Team, joka tunnetaan myös nimellä APT-C-35, Origami Elephant ja SECTOR02, on Advanced Persistent Threat (APT) -ryhmä, jolla uskotaan olevan yhteyksiä Intian hallitukseen. Tämä ryhmä on ollut aktiivinen ainakin vuodesta 2016 lähtien, ja on mahdollista, että se on perustettu ennen tätä ajanjaksoa.
DoNot Teamin ensisijainen tavoite näyttää olevan vakoilu Intian hallituksen etujen tukemiseksi. Kyberturvallisuustutkijat ovat havainneet useita tämän ryhmän toteuttamia kampanjoita tämän nimenomaisen tavoitteen mielessä.
Vaikka DoNot Teamin ensimmäinen tunnettu hyökkäys kohdistui televiestintäyritykseen Norjassa, sen painopiste keskittyy ensisijaisesti vakoiluon Etelä-Aasiassa. Heidän tärkein kiinnostuksen kohteensa on Kashmirin alue meneillään olevan Kashmirin konfliktin vuoksi. Tämä kiista on jatkunut pitkään, ja sekä Intia että Pakistan vaativat suvereniteettia koko alueella, vaikka ne kumpikin hallitsevat vain osaa. Diplomaattiset pyrkimykset kestävän ratkaisun löytämiseksi tähän kysymykseen ovat toistaiseksi osoittautuneet epäonnistuneiksi.
DoNot Team kohdistuu ensisijaisesti toimissaan hallituksiin, ulkoministeriöihin, sotilasjärjestöihin ja suurlähetystöihin liittyviin tahoihin.
Firebird Backdoor on uusi uhkaustyökalu, jonka DoNot Team on ottanut käyttöön
Laaja tutkimus on paljastanut uuden .NET-pohjaisen takaoven, jota kutsutaan nimellä Firebird. Tämä takaovi koostuu ensisijaisesta latausohjelmasta ja vähintään kolmesta laajennuksesta. Erityisesti kaikilla analysoiduilla näytteillä oli vahva ConfuserEx-suojaus, mikä johti erittäin alhaiseen havaitsemisasteeseen. Lisäksi jotkin näytteiden koodin osat eivät toimineet, mikä viittaa jatkuvaan kehitystoimintaan.
Etelä-Aasian alue on kyberrikollisuuden pesäpaikka
Haitallisia toimia on havaittu Pakistanissa toimivan Transparent Tribe, joka tunnetaan myös nimellä APT36, osallisena Intian hallituksen sektoreille. He ovat käyttäneet päivitettyä haittaohjelmaarsenaalia, joka sisältää aiemmin dokumentoimattoman Windows-troijalaisen nimeltä ElizaRAT.
Vuodesta 2013 toiminut Transparent Tribe on osallistunut tunnistetietojen keräämiseen ja haittaohjelmien jakeluhyökkäyksiin. He jakavat usein Intian hallituksen sovellusten troijalaisia asentajia, kuten Kavachin monitekijätodennusta. Lisäksi he ovat hyödyntäneet avoimen lähdekoodin komento- ja ohjauskehyksiä (C2), kuten Mythic.
Erityisesti Transparent Tribe on laajentanut keskittymistään Linux-järjestelmiin. Tutkijat ovat tunnistaneet rajoitetun määrän työpöydän syöttötiedostoja, jotka helpottavat Python-pohjaisten ELF-binäärien suorittamista, mukaan lukien GLOBSHELL tiedostojen suodattamiseen ja PYSHELLFOX istuntotietojen purkamiseen Mozilla Firefox -selaimesta. Linux-pohjaiset käyttöjärjestelmät ovat yleisiä Intian hallitussektorilla.
DoNot Teamin ja Transparent Triben lisäksi Aasian ja Tyynenmeren alueelta on noussut esiin toinen kansallisvaltion toimija, joka on erityisen kiinnostunut Pakistanista. Tämä näyttelijä, joka tunnetaan nimellä Mysterious Elephant tai APT-K-47, on yhdistetty keihästietojenkalastelukampanjaan. Tämä kampanja ottaa käyttöön uuden ORPBackdoor-nimisen takaoven, joka pystyy suorittamaan tiedostoja ja komentoja uhrin tietokoneella ja kommunikoimaan haitallisen palvelimen kanssa tiedostojen ja komentojen lähettämiseksi tai vastaanottamiseksi.
