Firebird Backdoor
Група претњи идентификована као ДоНот Теам је повезана са применом иновативног бацкдоор-а заснованог на .НЕТ-у познатог као Фиребирд. Овај бацкдоор је коришћен за циљање малог броја жртава које се налазе у Пакистану и Авганистану.
Истраживачи кибернетичке безбедности су идентификовали да су ови напади намештени да примене програм за преузимање под називом ЦСВтиреи, назив који је изведен из његове сличности са Втиреи. Втиреи, такође познат као БРЕЕЗЕСУГАР, означава варијанту корисног оптерећења и преузимача у почетној фази коју је противник претходно користио за дистрибуцију злонамерног оквира под називом РТИ.
Преглед садржаја
ДоНот Теам је активни актер претње сајбер криминалом
ДоНот тим, такође познат као АПТ-Ц-35, Оригами Елепхант и СЕЦТОР02, је група за напредну трајну претњу (АПТ) за коју се верује да има везе са индијском владом. Ова група је активна најмање од 2016. године, а постоји могућност да њено формирање претходи овом периоду.
Чини се да је примарни циљ ДоНот тима шпијунажа у циљу подршке интересима индијске владе. Истраживачи сајбер безбедности су посматрали више кампања које је ова група спровела са овим специфичним циљем.
Док је првобитни познати напад ДоНот тима био усмерен на телекомуникациону компанију у Норвешкој, његов фокус се првенствено врти око шпијунаже у Јужној Азији. Њихово главно подручје интересовања је регион Кашмира, с обзиром на текући сукоб у Кашмиру. Овај спор траје дуго времена, при чему и Индија и Пакистан полажу право на суверенитет над целим регионом, иако сваки од њих контролише само један део. Дипломатски напори да се постигне трајно решење овог питања до сада су се показали неуспешним.
ДоНот тим првенствено циља на субјекте повезане са владама, министарствима спољних послова, војним организацијама и амбасадама у својим операцијама.
Фиребирд Бацкдоор је нова претећа алатка коју је применио ДоНот тим
Опсежно испитивање је открило присуство новог бацкдоор-а заснованог на .НЕТ-у који се назива Фиребирд. Овај бацкдоор се састоји од примарног учитавача и најмање три додатка. Приметно је да су сви анализирани узорци показали снажну заштиту преко ЦонфусерЕк-а, што је довело до изузетно ниске стопе детекције. Поред тога, одређени делови кода у оквиру узорака су се чинили неоперативним, што указује на текуће развојне активности.
Регион Јужне Азије је легло за активности кибернетичког криминала
Уочене су злонамерне активности које укључују пакистанско Транспарент Трибе, такође познато као АПТ36, које циљају секторе унутар индијске владе. Они су користили ажурирани арсенал злонамерног софтвера, који укључује претходно недокументовани Виндовс тројанац по имену ЕлизаРАТ.
Транспарент Трибе, оперативан од 2013. године, бави се прикупљањем акредитива и нападима на дистрибуцију малвера. Они често дистрибуирају тројанизоване инсталатере индијских владиних апликација као што је Кавацх вишефакторска аутентификација. Поред тога, искористили су оквире за команду и контролу (Ц2) отвореног кода, као што је Митхиц.
Посебно, Транспарент Трибе је проширио свој фокус на Линук системе. Истраживачи су идентификовали ограничен број улазних датотека на радној површини које олакшавају извршавање ЕЛФ бинарних датотека заснованих на Питхон-у, укључујући ГЛОБСХЕЛЛ за ексфилтрацију датотека и ПИСХЕЛЛФОКС за издвајање података о сесији из претраживача Мозилла Фирефок. Оперативни системи засновани на Линуку преовлађују у индијском владином сектору.
Поред ДоНот тима и Транспарент Трибе, још један актер националне државе из азијско-пацифичког региона појавио се са посебним интересовањем за Пакистан. Овај глумац, познат као Мистериозни слон или АПТ-К-47, повезан је са кампањом крађе идентитета. Ова кампања примењује нови бацкдоор под називом ОРПЦБацкдоор, који има могућност да изврши датотеке и команде на рачунару жртве и комуницира са злонамерним сервером за слање или примање датотека и команди.
