Firebird Backdoor
Skupina groženj, identificirana kot DoNot Team, je bila povezana z uvedbo inovativnega backdoorja, ki temelji na .NET, znanega kot Firebird. Ta stranska vrata so bila uporabljena za ciljanje majhnega števila žrtev v Pakistanu in Afganistanu.
Raziskovalci kibernetske varnosti so ugotovili, da so ti napadi nastavljeni za uvedbo prenosnika, imenovanega CSVtyrei, ime, ki izhaja iz podobnosti z Vtyrei. Vtyrei, znan tudi kot BREEZESUGAR, označuje različico koristnega tovora in prenosnika v začetni fazi, ki jo je prej uporabljal nasprotnik za distribucijo zlonamernega ogrodja, imenovanega RTY.
Kazalo
DoNot Team je aktiven akter groženj kibernetskega kriminala
DoNot Team, znana tudi kot APT-C-35, Origami Elephant in SECTOR02, je skupina Advanced Persistent Threat (APT), za katero se verjame, da je povezana z indijsko vlado. Ta skupina je aktivna vsaj od leta 2016 in obstaja možnost, da je nastala pred tem obdobjem.
Zdi se, da je glavni cilj ekipe DoNot Team vohunjenje v podporo interesom indijske vlade. Raziskovalci kibernetske varnosti so opazili več kampanj, ki jih je izvedla ta skupina s tem posebnim ciljem v mislih.
Medtem ko je prvotni znani napad ekipe DoNot Team ciljal na telekomunikacijsko podjetje na Norveškem, se osredotoča predvsem na vohunjenje v Južni Aziji. Njihovo glavno interesno področje je regija Kašmir glede na trajajoči kašmirski konflikt. Ta spor traja že dolgo, tako Indija kot Pakistan zahtevata suverenost nad celotno regijo, čeprav vsaka nadzoruje le del. Diplomatska prizadevanja za trajno rešitev tega vprašanja so se doslej izkazala za neuspešna.
DoNot Team pri svojem delovanju cilja predvsem na subjekte, povezane z vladami, ministrstvi za zunanje zadeve, vojaškimi organizacijami in veleposlaništvi.
Firebird Backdoor je novo nevarno orodje, ki ga je uvedla skupina DoNot
Obsežna preiskava je razkrila prisotnost novih stranskih vrat, ki temeljijo na .NET, imenovanih Firebird. Ta stranska vrata so sestavljena iz primarnega nalagalnika in najmanj treh vtičnikov. Predvsem so vsi analizirani vzorci pokazali močno zaščito prek ConfuserEx, kar je vodilo do izjemno nizke stopnje zaznave. Poleg tega so se nekateri deli kode v vzorcih zdeli nedelujoči, kar kaže na tekoče razvojne dejavnosti.
Regija južne Azije je žarišče kibernetske kriminalitete
Opazili so zlonamerne dejavnosti, ki vključujejo pakistansko pleme Transparent Tribe, znano tudi kot APT36, ki cilja na sektorje znotraj indijske vlade. Uporabili so posodobljen arzenal zlonamerne programske opreme, ki vključuje prej nedokumentiranega trojanca Windows z imenom ElizaRAT.
Transparent Tribe, ki deluje od leta 2013, se ukvarja z napadi na zbiranje poverilnic in distribucijo zlonamerne programske opreme. Pogosto distribuirajo trojanske namestitvene programe indijske vlade, kot je večfaktorska avtentikacija Kavach. Poleg tega so izkoristili odprtokodna ogrodja ukazov in nadzora (C2), kot je Mythic.
Predvsem je Transparent Tribe razširil svojo pozornost na sisteme Linux. Raziskovalci so identificirali omejeno število vnosnih datotek namizja, ki olajšajo izvajanje binarnih datotek ELF, ki temeljijo na Pythonu, vključno z GLOBSHELL za ekstrakcijo datotek in PYSHELLFOX za ekstrahiranje podatkov seje iz brskalnika Mozilla Firefox. Operacijski sistemi, ki temeljijo na Linuxu, prevladujejo v indijskem vladnem sektorju.
Poleg DoNot Team in Transparent Tribe se je pojavil še en akter nacionalne države iz azijsko-pacifiške regije, ki se posebej zanima za Pakistan. Ta igralec, znan kot Mysterious Elephant ali APT-K-47, je bil povezan s kampanjo lažnega predstavljanja. Ta kampanja uporablja nova stranska vrata, imenovana ORPCBackdoor, ki lahko izvajajo datoteke in ukaze v računalniku žrtve ter komunicirajo z zlonamernim strežnikom za pošiljanje ali prejemanje datotek in ukazov.
