Firebird Backdoor
A DoNot Team néven azonosított fenyegetettségi csoportot egy innovatív, .NET-alapú, Firebird néven ismert hátsó ajtó telepítésével hozták kapcsolatba. Ezt a hátsó ajtót néhány Pakisztánban és Afganisztánban tartózkodó áldozat megcélzására használták.
A kiberbiztonsági kutatók megállapították, hogy ezeket a támadásokat a CSVtyrei nevű letöltő telepítésére hozták létre, amely név a Vtyreihez való hasonlóságából származik. A Vtyrei, más néven BREEZESUGAR, egy kezdeti fázisú hasznos adathordozó és letöltő változatot jelöl, amelyet az ellenfél korábban az RTY nevű rosszindulatú keretrendszer terjesztésére használt.
Tartalomjegyzék
A DoNot Team egy aktív kiberbűnözési fenyegetés szereplő
A DoNot Team, más néven APT-C-35, Origami Elephant és SECTOR02, egy Advanced Persistent Threat (APT) csoport, amelyről úgy tartják, hogy kapcsolatban állnak az indiai kormánnyal. Ez a csoport legalább 2016 óta működik, és fennáll annak a lehetősége, hogy megalakulása megelőzi ezt az időszakot.
Úgy tűnik, hogy a DoNot Team elsődleges célja az indiai kormány érdekeit támogató kémkedés. A kiberbiztonsággal foglalkozó kutatók több kampányt is megfigyeltek, amelyet ez a csoport végzett ezzel a konkrét céllal.
Míg a DoNot Team kezdeti ismert támadása egy norvég telekommunikációs céget célzott, a fókusz elsősorban a dél-ázsiai kémkedésre irányul. Fő érdeklődési területük a kasmíri régió, tekintettel a folyamatban lévő kasmíri konfliktusra. Ez a vita hosszú ideig fennáll, India és Pakisztán is az egész régió feletti szuverenitást követelte, jóllehet mindegyik csak egy részét irányítja. A kérdés tartós megoldására irányuló diplomáciai erőfeszítések eddig sikertelennek bizonyultak.
A DoNot Team elsősorban a kormányokkal, külügyminisztériumokkal, katonai szervezetekkel és nagykövetségekkel kapcsolatban álló szervezeteket célozza meg működésében.
A Firebird Backdoor egy új fenyegető eszköz, amelyet a DoNot csapat telepített
Egy kiterjedt vizsgálat felfedte egy új .NET-alapú hátsó ajtó, a Firebird jelenlétét. Ez a hátsó ajtó egy elsődleges betöltőből és legalább három bővítményből áll. Figyelemre méltó, hogy minden elemzett minta erős védelmet mutatott a ConfuserEx révén, ami rendkívül alacsony észlelési arányt eredményezett. Ezenkívül a kód egyes részei a mintákon belül nem működtek, ami folyamatos fejlesztési tevékenységekre utal.
A dél-ázsiai régió a kiberbűnözés melegágya
Rosszindulatú tevékenységeket figyeltek meg a pakisztáni székhelyű Transparent Tribe, más néven APT36 körében, és az indiai kormányon belüli szektorokat célozták meg. Frissített kártevő-arzenált alkalmaztak, amely magában foglalja az ElizaRAT nevű, korábban nem dokumentált Windows trójai programot.
A 2013 óta működő Transparent Tribe hitelesítő adatok begyűjtésével és rosszindulatú programok terjesztésével kapcsolatos támadásokkal foglalkozik. Gyakran terjesztik az indiai kormányzati alkalmazások trójai telepítőit, például a Kavach többtényezős hitelesítést. Ezenkívül kihasználták a nyílt forráskódú parancs- és vezérlési (C2) keretrendszereket, például a Mythic-et.
Nevezetesen, a Transparent Tribe a Linux rendszerekre is kiterjesztette a hangsúlyt. A kutatók korlátozott számú asztali beviteli fájlt azonosítottak, amelyek megkönnyítik a Python-alapú ELF binárisok végrehajtását, ideértve a GLOBSHELL-t a fájlok kiszűrésére és a PYSHELLFOX-ot a munkamenetadatok kinyerésére a Mozilla Firefox böngészőből. A Linux-alapú operációs rendszerek elterjedtek az indiai kormányzati szektorban.
A DoNot Team és a Transparent Tribe mellett egy másik nemzetállami szereplő is megjelent az ázsiai-csendes-óceáni térségből, aki különös érdeklődést mutat Pakisztán iránt. Ezt a Mysterious Elephant vagy APT-K-47 néven ismert színészt egy lándzsás adathalász kampányhoz kapcsolták. Ez a kampány egy újszerű, ORPBackdoor nevű hátsó ajtót telepít, amely képes fájlokat és parancsokat végrehajtani az áldozat számítógépén, és kommunikálni egy rosszindulatú szerverrel fájlok és parancsok küldése és fogadása érdekében.