Firebird Backdoor
Skupina hrozieb označená ako DoNot Team bola spojená s nasadením inovatívneho backdoor na báze .NET známeho ako Firebird. Tieto zadné vrátka boli použité na zameranie sa na malý počet obetí v Pakistane a Afganistane.
Výskumníci v oblasti kybernetickej bezpečnosti zistili, že tieto útoky sú nastavené na nasadenie sťahovača s názvom CSVtyrei, čo je názov odvodený od jeho podobnosti s Vtyrei. Vtyrei, tiež známy ako BREEZESUGAR, označuje počiatočnú fázu užitočného zaťaženia a variant sťahovania, ktorý predtým používal protivník na distribúciu škodlivého rámca nazývaného RTY.
Obsah
DoNot Team je aktívnym aktérom v oblasti počítačovej kriminality
DoNot Team, tiež známy ako APT-C-35, Origami Elephant a SECTOR02, je skupina APT (Advanced Persistent Threat), o ktorej sa predpokladá, že má spojenie s indickou vládou. Táto skupina pôsobí minimálne od roku 2016 a existuje možnosť, že jej vznik predchádza tomuto obdobiu.
Zdá sa, že hlavným cieľom DoNot Teamu je špionáž na podporu záujmov indickej vlády. Výskumníci v oblasti kybernetickej bezpečnosti pozorovali viacero kampaní, ktoré táto skupina uskutočnila s týmto konkrétnym cieľom.
Zatiaľ čo prvý známy útok DoNot Team bol zameraný na telekomunikačnú spoločnosť v Nórsku, jeho zameranie sa primárne točí okolo špionáže v južnej Ázii. Ich hlavnou oblasťou záujmu je oblasť Kašmíru, vzhľadom na prebiehajúci kašmírsky konflikt. Tento spor pretrváva už dlho, pričom India aj Pakistan si nárokujú suverenitu nad celým regiónom, aj keď každý ovláda len časť. Diplomatické snahy o dosiahnutie trvalého riešenia tejto otázky sa zatiaľ ukázali ako neúspešné.
DoNot Team sa vo svojich operáciách zameriava predovšetkým na subjekty spojené s vládami, ministerstvami zahraničných vecí, vojenskými organizáciami a ambasádami.
Firebird Backdoor je nový hroziaci nástroj, ktorý nasadil tím DoNot
Rozsiahle skúmanie odhalilo prítomnosť nového backdoor na báze .NET označovaného ako Firebird. Toto zadné vrátka pozostáva z primárneho zavádzača a minimálne troch doplnkov. Všetky analyzované vzorky vykazovali silnú ochranu prostredníctvom ConfuserEx, čo viedlo k extrémne nízkej miere detekcie. Okrem toho sa niektoré časti kódu v rámci vzoriek javili ako nefunkčné, čo naznačuje prebiehajúce vývojové aktivity.
Región južnej Ázie je ohniskom pre aktivity v oblasti počítačovej kriminality
Boli pozorované škodlivé aktivity týkajúce sa pakistanského Transparent Tribe, známeho aj ako APT36, zamerané na sektory v rámci indickej vlády. Použili aktualizovaný arzenál škodlivého softvéru, ktorý obsahuje predtým nezdokumentovaný trójsky kôň Windows s názvom ElizaRAT.
Transparent Tribe, ktorý funguje od roku 2013, sa zaoberal zberom poverení a útokmi na distribúciu škodlivého softvéru. Často distribuujú trojanizované inštalátory indických vládnych aplikácií, ako je viacfaktorová autentifikácia Kavach. Okrem toho využili rámce príkazov a ovládania (C2) s otvoreným zdrojom, ako je napríklad Mythic.
Transparent Tribe rozšíril svoje zameranie na systémy Linux. Výskumníci identifikovali obmedzený počet vstupných súborov na pracovnej ploche, ktoré uľahčujú spustenie binárnych súborov ELF založených na Pythone, vrátane GLOBSHELL na exfiltráciu súborov a PYSHELLFOX na extrahovanie údajov relácie z prehliadača Mozilla Firefox. Operačné systémy založené na Linuxe prevládajú v indickom vládnom sektore.
Okrem DoNot Teamu a Transparent Tribe sa objavil ďalší národný štátny predstaviteľ z ázijsko-pacifického regiónu, ktorý má osobitný záujem o Pakistan. Tento herec, známy ako Mysterious Elephant alebo APT-K-47, bol spájaný s kampaňou spear-phishing. Táto kampaň využíva nové zadné vrátka s názvom ORPCBackdoor, ktoré majú schopnosť spúšťať súbory a príkazy na počítači obete a komunikovať so škodlivým serverom na odosielanie alebo prijímanie súborov a príkazov.
