Firebird Backdoor
Kumpulan ancaman yang dikenal pasti sebagai Pasukan DoNot telah dikaitkan dengan penggunaan pintu belakang berasaskan .NET yang inovatif yang dikenali sebagai Firebird. Pintu belakang ini telah digunakan untuk menyasarkan sebilangan kecil mangsa yang terletak di Pakistan dan Afghanistan.
Penyelidik keselamatan siber telah mengenal pasti bahawa serangan ini disediakan untuk menggunakan pemuat turun yang dipanggil CSVtyrei, nama yang diperoleh daripada persamaannya dengan Vtyrei. Vtyrei, juga dikenali sebagai BREEZESUGAR, menandakan muatan peringkat awal dan varian pemuat turun yang sebelum ini digunakan oleh musuh untuk mengedarkan rangka kerja berniat jahat yang dipanggil RTY.
Isi kandungan
Pasukan DoNot ialah Pelakon Ancaman Jenayah Siber yang Aktif
Pasukan DoNot, juga dikenali sebagai APT-C-35, Origami Elephant, dan SECTOR02, ialah kumpulan Ancaman Berterusan Lanjutan (APT) yang dipercayai mempunyai hubungan dengan kerajaan India. Kumpulan ini telah aktif sejak sekurang-kurangnya 2016, dan terdapat kemungkinan pembentukannya sebelum tempoh ini.
Objektif utama Pasukan DoNot nampaknya adalah pengintipan untuk menyokong kepentingan kerajaan India. Penyelidik keselamatan siber telah memerhatikan beberapa kempen yang dijalankan oleh kumpulan ini dengan matlamat khusus ini.
Walaupun serangan awal DoNot Team yang diketahui menyasarkan sebuah syarikat telekomunikasi di Norway, tumpuannya terutamanya berkisar pada pengintipan di Asia Selatan. Kawasan kepentingan utama mereka ialah wilayah Kashmir, memandangkan Konflik Kashmir yang berterusan. Pertikaian ini telah berlarutan sejak sekian lama, dengan kedua-dua India dan Pakistan menuntut kedaulatan ke atas seluruh wilayah, walaupun mereka masing-masing menguasai sebahagian sahaja. Usaha diplomatik untuk mencapai penyelesaian yang berkekalan terhadap isu ini setakat ini terbukti tidak berjaya.
Pasukan DoNot menyasarkan terutamanya entiti yang berkaitan dengan kerajaan, kementerian hal ehwal luar negeri, organisasi ketenteraan dan kedutaan dalam operasinya.
Firebird Backdoor ialah Alat Mengancam Baharu yang Digunakan oleh Pasukan DoNot
Pemeriksaan menyeluruh telah mendedahkan kehadiran pintu belakang berasaskan .NET baharu yang dirujuk sebagai Firebird. Pintu belakang ini terdiri daripada pemuat utama dan sekurang-kurangnya tiga pemalam. Terutama, semua sampel yang dianalisis mempamerkan perlindungan yang kukuh melalui ConfuserEx, yang membawa kepada kadar pengesanan yang sangat rendah. Selain itu, bahagian tertentu kod dalam sampel kelihatan tidak beroperasi, mencadangkan aktiviti pembangunan yang berterusan.
Rantau Asia Selatan Menjadi Sarang Aktiviti Jenayah Siber
Aktiviti berniat jahat telah diperhatikan melibatkan Puak Telus yang berpangkalan di Pakistan, juga dikenali sebagai APT36, yang menyasarkan sektor dalam kerajaan India. Mereka telah menggunakan senjata perisian hasad yang dikemas kini, yang termasuk trojan Windows yang tidak didokumenkan sebelum ini bernama ElizaRAT.
Transparent Tribe, beroperasi sejak 2013, telah terlibat dalam penuaian kelayakan dan serangan pengedaran perisian hasad. Mereka sering mengedarkan pemasang trojan aplikasi kerajaan India seperti pengesahan pelbagai faktor Kavach. Selain itu, mereka telah memanfaatkan rangka kerja arahan dan kawalan (C2) sumber terbuka, seperti Mythic.
Terutama, Transparent Tribe telah meluaskan fokusnya kepada sistem Linux. Penyelidik telah mengenal pasti bilangan fail kemasukan desktop yang terhad yang memudahkan pelaksanaan binari ELF berasaskan Python, termasuk GLOBSHELL untuk exfiltration fail dan PYSHELLFOX untuk mengekstrak data sesi daripada pelayar Mozilla Firefox. Sistem pengendalian berasaskan Linux berleluasa dalam sektor kerajaan India.
Sebagai tambahan kepada DoNot Team dan Transparent Tribe, seorang lagi pelakon negara bangsa dari rantau Asia-Pasifik telah muncul dengan minat khusus di Pakistan. Pelakon ini, dikenali sebagai Gajah Misterius atau APT-K-47, telah dikaitkan dengan kempen pancingan lembing. Kempen ini menggunakan pintu belakang baru yang dipanggil ORPCBackdoor, yang mempunyai keupayaan untuk melaksanakan fail dan arahan pada komputer mangsa dan berkomunikasi dengan pelayan berniat jahat untuk menghantar atau menerima fail dan arahan.
