Firebird Backdoor
Ang pangkat ng pagbabanta na kinilala bilang DoNot Team ay nauugnay sa pag-deploy ng isang makabagong .NET-based na backdoor na kilala bilang Firebird. Ang backdoor na ito ay ginamit upang i-target ang isang maliit na bilang ng mga biktima na matatagpuan sa Pakistan at Afghanistan.
Natukoy ng mga mananaliksik sa cybersecurity na ang mga pag-atakeng ito ay naka-set up upang mag-deploy ng isang downloader na tinatawag na CSVtyrei, isang pangalan na nagmula sa mga pagkakatulad nito sa Vtyrei. Ang Vtyrei, na kilala rin bilang BREEZESUGAR, ay tumutukoy sa paunang yugto ng payload at variant ng downloader na dating ginamit ng kalaban upang ipamahagi ang isang nakakahamak na framework na tinatawag na RTY.
Talaan ng mga Nilalaman
Ang DoNot Team ay isang Aktibong Cybercrime Threat Actor
Ang DoNot Team, na kilala rin bilang APT-C-35, Origami Elephant, at SECTOR02, ay isang grupong Advanced Persistent Threat (APT) na pinaniniwalaang may kaugnayan sa gobyerno ng India. Ang grupong ito ay naging aktibo mula pa noong 2016, at may posibilidad na ang pagbuo nito ay nauna pa sa panahong ito.
Ang pangunahing layunin ng DoNot Team ay lumilitaw na espionage bilang suporta sa mga interes ng gobyerno ng India. Napagmasdan ng mga mananaliksik sa cybersecurity ang maraming kampanyang isinagawa ng pangkat na ito nang nasa isip ang partikular na layuning ito.
Habang ang paunang kilalang pag-atake ng DoNot Team ay naka-target sa isang kumpanya ng telekomunikasyon sa Norway, ang focus nito ay pangunahing umiikot sa espionage sa South Asia. Ang kanilang pangunahing lugar ng interes ay ang Kashmir region, dahil sa patuloy na Kashmir Conflict. Ang pagtatalo na ito ay nagpatuloy sa mahabang panahon, kung saan ang India at Pakistan ay inaangkin ang soberanya sa buong rehiyon, kahit na ang bawat isa ay may kontrol lamang sa isang bahagi. Ang mga diplomatikong pagsisikap na maabot ang isang pangmatagalang resolusyon sa isyung ito ay napatunayang hindi matagumpay.
Pangunahing pinupuntirya ng DoNot Team ang mga entity na nauugnay sa mga pamahalaan, mga ministri ng foreign affairs, mga organisasyong militar at mga embahada sa mga operasyon nito.
Ang Firebird Backdoor ay isang Bagong Banta na Tool na Ini-deploy ng DoNot Team
Ang isang malawak na pagsusuri ay nagsiwalat ng pagkakaroon ng isang bagong .NET-based na backdoor na tinutukoy bilang Firebird. Ang backdoor na ito ay binubuo ng pangunahing loader at hindi bababa sa tatlong plugin. Kapansin-pansin, lahat ng nasuri na sample ay nagpakita ng malakas na proteksyon sa pamamagitan ng ConfuserEx, na humahantong sa napakababang rate ng pagtuklas. Bilang karagdagan, ang ilang mga seksyon ng code sa loob ng mga sample ay lumitaw na hindi gumagana, na nagmumungkahi ng patuloy na mga aktibidad sa pag-unlad.
Ang Rehiyon sa Timog Asya ay Isang Hotbed para sa Mga Aktibidad sa Cybercrime
Naobserbahan ang mga masasamang aktibidad na kinasasangkutan ng Transparent Tribe na nakabase sa Pakistan, na kilala rin bilang APT36, na nagta-target ng mga sektor sa loob ng gobyerno ng India. Gumamit sila ng na-update na arsenal ng malware, na kinabibilangan ng dati nang hindi dokumentadong Windows trojan na pinangalanang ElizaRAT.
Ang Transparent Tribe, na gumagana mula noong 2013, ay nakikibahagi sa pag-aani ng kredensyal at mga pag-atake sa pamamahagi ng malware. Madalas silang namamahagi ng mga trojanized installer ng mga application ng gobyerno ng India tulad ng Kavach multi-factor authentication. Bukod pa rito, ginamit nila ang open-source na command-and-control (C2) na mga balangkas, gaya ng Mythic.
Kapansin-pansin, pinalawak ng Transparent Tribe ang pagtuon nito sa mga sistema ng Linux. Natukoy ng mga mananaliksik ang isang limitadong bilang ng mga file sa pagpasok sa desktop na nagpapadali sa pagpapatupad ng mga binary na ELF na nakabatay sa Python, kabilang ang GLOBSHELL para sa exfiltration ng file at PYSHELLFOX para sa pagkuha ng data ng session mula sa browser ng Mozilla Firefox. Ang mga operating system na nakabase sa Linux ay laganap sa sektor ng gobyerno ng India.
Bilang karagdagan sa DoNot Team at Transparent Tribe, isa pang aktor ng bansang estado mula sa rehiyon ng Asia-Pacific ang lumitaw na may partikular na interes sa Pakistan. Ang aktor na ito, na kilala bilang Mysterious Elephant o APT-K-47, ay na-link sa isang spear-phishing campaign. Ang kampanyang ito ay naglalagay ng isang nobelang backdoor na tinatawag na ORPCBackdoor, na may kakayahang magsagawa ng mga file at command sa computer ng biktima at makipag-ugnayan sa isang malisyosong server upang magpadala o tumanggap ng mga file at command.
