Firebird Backdoor wird vorläufig mit Indian APT in Verbindung gebracht

Die als DoNot Team bekannte Personengruppe steht im Zusammenhang mit der Bereitstellung einer neuen .NET-basierten Hintertür namens Firebird, die auf eine begrenzte Anzahl von Zielen in Pakistan und Afghanistan abzielt.

Cybersicherheitsforscher gaben an, dass die Angriffssequenzen auch darauf ausgelegt sind, einen Downloader namens CSVtyrei einzuführen, der aufgrund seiner Ähnlichkeit mit Vtyrei so genannt wird. Bestimmte Abschnitte des bereitgestellten Codes schienen nicht betriebsbereit zu sein, was auf laufende Entwicklungsbemühungen hindeutet.

Vtyrei (auch bekannt als BREEZESUGAR) bezieht sich auf eine anfängliche Nutzlast- und Downloader-Variante, die der Bedrohungsakteur zuvor verwendet hatte, um ein Malware-Framework namens RTY zu verbreiten.

DoNot Team, das auch unter den Pseudonymen APT-C-35, Origami Elephant und SECTOR02 bekannt ist, stammt vermutlich aus Indien. Bei ihren Angriffen nutzen sie Spear-Phishing-E-Mails und betrügerische Android-Apps zur Verbreitung von Malware.

Die jüngste Auswertung der Forscher basiert auf einer Untersuchung der Doppelangriffskampagnen dieses Bedrohungsakteurs im April 2023, bei denen dieser die Frameworks Agent K11 und RTY einsetzte.

ElizaRAT wird bei Angriffen auf Indien eingesetzt

Diese Enthüllung erfolgt, nachdem Zscaler ThreatLabz neue böswillige Aktivitäten des in Pakistan ansässigen Transparent Tribe (auch bekannt als APT36) aufgedeckt hat. Diese Gruppe hat Teile der indischen Regierung mit einem aktualisierten Arsenal an Malware ins Visier genommen, zu dem auch ein bisher undokumentierter Windows-Trojaner namens ElizaRAT gehört.

ElizaRAT wird als .NET-Binärdatei bereitgestellt und stellt über Telegram einen Kommunikationskanal her, der es Bedrohungsakteuren ermöglicht, die vollständige Kontrolle über den Zielendpunkt zu erlangen.

Transparent Tribe, seit 2013 aktiv, nutzt Taktiken wie das Sammeln von Anmeldeinformationen und die Verbreitung von Malware und verbreitet häufig manipulierte Installationsprogramme für indische Regierungsanwendungen wie die Multi-Faktor-Authentifizierung von Kavach. Sie haben auch Open-Source-Command-and-Control-Frameworks (C2) wie Mythic zu Waffen gemacht.

Als Zeichen dafür, dass diese Hackergruppe ihre Aufmerksamkeit auf Linux-Systeme gerichtet hat, stellte Zscaler fest, dass sie einen kleinen Satz von Desktop-Eintragsdateien gefunden haben, die die Ausführung von Python-basierten ELF-Binärdateien erleichtern. Dazu gehören GLOBSHELL zum Exfiltrieren von Dateien und PYSHELLFOX zum Stehlen von Sitzungsdaten aus dem Mozilla Firefox-Browser.