Firebird Bagdør Foreløbigt forbundet med indisk APT
Gruppen af individer kendt som DoNot Team er blevet forbundet med implementeringen af en ny .NET-baseret bagdør kaldet Firebird, som har været rettet mod et begrænset antal mål i Pakistan og Afghanistan.
Cybersikkerhedsforskere udtalte, at angrebssekvenserne også er sat op til at introducere en downloader ved navn CSVtyrei, navngivet som sådan på grund af dens lighed med Vtyrei. Visse dele af den leverede kode så ud til at være ikke-operative, hvilket indikerer en igangværende udviklingsindsats.
Vtyrei (også kendt som BREEZESUGAR) refererer til en indledende nyttelast og downloader-stamme, som trusselsaktøren tidligere havde brugt til at distribuere en malwareramme kendt som RTY.
DoNot Team, som også går under aliaserne APT-C-35, Origami Elephant og SECTOR02, menes at stamme fra Indien. Deres angreb involverer brug af spear-phishing-e-mails og useriøse Android-apps til at udbrede malware.
Den seneste evaluering fra forskere udvider en undersøgelse af de dobbelte angrebskampagner fra denne trusselsaktør i april 2023, hvor de implementerede Agent K11- og RTY-rammerne.
ElizaRAT bruges til angreb på Indien
Denne afsløring kommer i kølvandet på, at Zscaler ThreatLabz afslører nye ondsindede aktiviteter udført af den Pakistan-baserede Transparent Tribe (også kendt som APT36). Denne gruppe har været rettet mod sektorer af den indiske regering ved hjælp af et opdateret arsenal af malware, som inkluderer en tidligere udokumenteret Windows-trojan ved navn ElizaRAT.
ElizaRAT leveres som en .NET binær og etablerer en kommunikationskanal gennem Telegram, så trusselsaktører kan få fuldstændig kontrol over det målrettede slutpunkt.
Transparent Tribe, der har været aktiv siden 2013, har brugt taktikker som indsamling af legitimationsoplysninger og distribution af malware, og distribuerer ofte manipulerede installatører af indiske regeringsapplikationer såsom Kavach multi-faktor autentificering. De har også bevæbnet open source kommando-og-kontrol (C2) rammer som Mythic.
Som et tegn på, at denne hackergruppe har rettet sin opmærksomhed mod Linux-systemer, bemærkede Zscaler, at de fandt et lille sæt desktop-indgangsfiler, der letter udførelsen af Python-baserede ELF-binære filer. Disse omfatter GLOBSHELL til at eksfiltrere filer og PYSHELLFOX til at stjæle sessionsdata fra Mozilla Firefox-browseren.