Firebird Backdoor
De bedreigingsgroep geïdentificeerd als DoNot Team is in verband gebracht met de inzet van een innovatieve op .NET gebaseerde achterdeur, bekend als Firebird. Deze achterdeur is gebruikt om een klein aantal slachtoffers in Pakistan en Afghanistan te targeten.
Cybersecurity-onderzoekers hebben vastgesteld dat deze aanvallen zijn opgezet om een downloader in te zetten met de naam CSVtyrei, een naam die is afgeleid van de overeenkomsten met Vtyrei. Vtyrei, ook bekend als BREEZESUGAR, duidt een payload- en downloadervariant in de beginfase aan die eerder door de tegenstander werd gebruikt om een kwaadaardig raamwerk genaamd RTY te verspreiden.
Inhoudsopgave
DoNot Team is een actieve cybercriminaliteitsbedreiging
DoNot Team, ook bekend als APT-C-35, Origami Elephant en SECTOR02, is een Advanced Persistent Threat (APT)-groep die vermoedelijk banden heeft met de Indiase overheid. Deze groep is in ieder geval sinds 2016 actief en het is mogelijk dat de oprichting ervan al vóór deze periode dateert.
Het primaire doel van het DoNot Team lijkt spionage te zijn ter ondersteuning van de belangen van de Indiase regering. Cybersecurity-onderzoekers hebben meerdere campagnes waargenomen die door deze groep zijn uitgevoerd met dit specifieke doel voor ogen.
Hoewel de aanvankelijk bekende aanval van DoNot Team gericht was op een telecommunicatiebedrijf in Noorwegen, ligt de focus vooral op spionage in Zuid-Azië. Hun belangrijkste aandachtsgebied is de regio Kasjmir, gezien het aanhoudende conflict in Kasjmir. Dit geschil duurt al lange tijd, waarbij zowel India als Pakistan de soevereiniteit over de hele regio claimen, ook al controleren ze elk slechts een deel. Diplomatieke pogingen om tot een duurzame oplossing voor deze kwestie te komen zijn tot nu toe niet succesvol gebleken.
Het DoNot Team richt zich bij zijn activiteiten primair op entiteiten die banden hebben met overheden, ministeries van Buitenlandse Zaken, militaire organisaties en ambassades.
Firebird Backdoor is een nieuwe bedreigingstool die wordt ingezet door het DoNot-team
Een uitgebreid onderzoek heeft de aanwezigheid aan het licht gebracht van een nieuwe op .NET gebaseerde achterdeur, genaamd Firebird. Deze backdoor bestaat uit een primaire lader en minimaal drie plug-ins. Opvallend is dat alle geanalyseerde monsters een sterke bescherming vertoonden via ConfuserEx, wat leidde tot een extreem laag detectiepercentage. Bovendien leken bepaalde delen van de code in de voorbeelden niet-operationeel, wat erop wijst dat er lopende ontwikkelingsactiviteiten zijn.
De regio Zuid-Azië is een broeinest van cybercriminaliteitsactiviteiten
Er zijn kwaadaardige activiteiten waargenomen waarbij de in Pakistan gevestigde Transparent Tribe, ook bekend als APT36, betrokken was, gericht op sectoren binnen de Indiase regering. Ze hebben een bijgewerkt malwarearsenaal gebruikt, waaronder een voorheen ongedocumenteerde Windows-trojan genaamd ElizaRAT.
Transparent Tribe, operationeel sinds 2013, houdt zich bezig met het verzamelen van inloggegevens en aanvallen op de distributie van malware. Ze verspreiden vaak trojan-installatieprogramma's van Indiase overheidsapplicaties zoals Kavach multi-factor authenticatie. Bovendien hebben ze gebruik gemaakt van open-source command-and-control (C2)-frameworks, zoals Mythic.
Met name heeft Transparent Tribe zijn focus uitgebreid naar Linux-systemen. Onderzoekers hebben een beperkt aantal desktopinvoerbestanden geïdentificeerd die de uitvoering van op Python gebaseerde ELF-binaire bestanden vergemakkelijken, waaronder GLOBSHELL voor bestandsexfiltratie en PYSHELLFOX voor het extraheren van sessiegegevens uit de Mozilla Firefox-browser. Op Linux gebaseerde besturingssystemen zijn wijd verspreid binnen de Indiase overheidssector.
Naast DoNot Team en Transparent Tribe is er nog een natiestatelijke actor uit de regio Azië-Pacific naar voren gekomen met bijzondere belangstelling voor Pakistan. Deze acteur, bekend als Mysterious Elephant of APT-K-47, is in verband gebracht met een spearphishing-campagne. Deze campagne maakt gebruik van een nieuwe achterdeur genaamd ORPCBackdoor, die de mogelijkheid heeft om bestanden en opdrachten uit te voeren op de computer van het slachtoffer en te communiceren met een kwaadaardige server om bestanden en opdrachten te verzenden of te ontvangen.
