Firebird Backdoor
O grupo de ameaças identificado como DoNot Team foi associado à implantação de um backdoor inovador baseado em .NET conhecido como Firebird. Esse backdoor foi utilizadaopara atingir um pequeno número de vítimas localizadas no Paquistão e no Afeganistão.
Os pesquisadores de segurança cibernética identificaram que esses ataques são configurados para implantar um downloader chamado CSVtyrei, um nome derivado de suas semelhanças com o Vtyrei. O Vtyrei, também conhecido como BREEZESUGAR, denota uma carga útil em estágio inicial e uma variante de download usada anteriormente pelo adversário para distribuir uma estrutura maliciosa chamada RTY.
Índice
O DoNot Team é um Autor Ativo de Ameaças que Executam Crimes Cibernéticos
O DoNot Team, também conhecido como APT-C-35, Origami Elephant e SECTOR02, é um grupo de Ameaça Persistente Avançada (APT) que se acredita ter afiliações com o governo indiano. Este grupo está ativo pelo menos desde 2016, existindo a possibilidade de a sua formação ser anterior a este período.
O objetivo principal do DoNot Team parece ser a espionagem em apoio aos interesses do governo indiano. Os investigadores de segurança cibernética observaram múltiplas campanhas realizadas por este grupo com este objetivo específico em mente.
Embora o ataque inicial conhecido do DoNot Team tenha como alvo uma empresa de telecomunicações na Noruega, seu foco gira principalmente em torno da espionagem no Sul da Ásia. A sua principal área de interesse é a região da Caxemira, dado o conflito em curso na Caxemira. Esta disputa persiste há muito tempo, com a Índia e o Paquistão a reivindicarem a soberania sobre toda a região, embora cada um controle apenas uma parte. Os esforços diplomáticos para alcançar uma resolução duradoura para esta questão revelaram-se até agora infrutíferos.
O DoNot Team visa principalmente entidades associadas a governos, ministérios de relações exteriores, organizações militares e embaixadas em suas operações.
O Firebird Backdoor é uma Nova Ferramenta Ameaçadora Implantada pela Equipe do DoNot
Um extenso exame revelou a presença de um novo backdoor baseado em .NET conhecido como Firebird. Este backdoor consiste em um carregador primário e um mínimo de três plugins. Notavelmente, todas as amostras analisadas exibiram forte proteção através do ConfuserEx, levando a uma taxa de detecção extremamente baixa. Além disso, certas seções do código nos exemplos pareciam não operacionais, sugerindo atividades de desenvolvimento contínuas.
A Região do Sul da Ásia é um Foco de Atividades de Crimes Cibernéticos
Foram observadas atividades maliciosas envolvendo a Tribo Transparente, sediada no Paquistão, também conhecida como APT36, visando setores do governo indiano. Eles empregaram um arsenal de malware atualizado, que inclui um trojan do Windows anteriormente não documentado chamado ElizaRAT.
O Transparent Tribe, operacional desde 2013, está envolvido em ataques de coleta de credenciais e distribuição de malware. Eles costumam distribuir instaladores trojanizados de aplicativos do governo indiano, como a autenticação multifator Kavach. Além disso, eles aproveitaram estruturas de Comando e Controle (C2) de código aberto, como o Mythic.
Notavelmente, o Transparent Tribe expandiu seu foco para sistemas Linux. Os pesquisadores identificaram um número limitado de arquivos de entrada de desktop que facilitam a execução de binários ELF baseados em Python, incluindo GLOBSHELL para exfiltração de arquivos e PYSHELLFOX para extrair dados de sessão do navegador Mozilla Firefox. Os sistemas operacionais baseados em Linux são predominantes no setor governamental indiano.
Além do DoNot Team e da Transparent Tribe, surgiu outro actor estatal na região Ásia-Pacífico com um interesse particular no Paquistão. Este ator, conhecido como Mysterious Elephant ou APT-K-47, foi associado a uma campanha de spear-phishing. Esta campanha implanta um novo backdoor chamado ORPCBackdoor, que tem a capacidade de executar arquivos e comandos no computador da vítima e se comunicar com um servidor malicioso para enviar ou receber arquivos e comandos.
