Το Firebird Backdoor συνδέεται προσωρινά με το Indian APT

Η ομάδα ατόμων που είναι γνωστή ως DoNot Team έχει συνδεθεί με την ανάπτυξη μιας νέας κερκόπορτας που βασίζεται σε .NET που ονομάζεται Firebird, η οποία έχει κατευθυνθεί σε περιορισμένο αριθμό στόχων στο Πακιστάν και το Αφγανιστάν.

Οι ερευνητές κυβερνοασφάλειας δήλωσαν ότι οι ακολουθίες επίθεσης έχουν επίσης ρυθμιστεί για να εισάγουν ένα πρόγραμμα λήψης που ονομάζεται CSVtyrei, το οποίο ονομάζεται ως τέτοιο λόγω της ομοιότητάς του με το Vtyrei. Ορισμένα τμήματα του παρεχόμενου κώδικα φάνηκαν να μην είναι λειτουργικά, υποδεικνύοντας συνεχείς προσπάθειες ανάπτυξης.

Το Vtyrei (επίσης γνωστό ως BREEZESUGAR) αναφέρεται σε ένα αρχικό ωφέλιμο φορτίο και φορτίο λήψης που ο παράγοντας απειλής είχε χρησιμοποιήσει προηγουμένως για τη διανομή ενός πλαισίου κακόβουλου λογισμικού γνωστό ως RTY.

Το DoNot Team, το οποίο φέρει επίσης τα ψευδώνυμα APT-C-35, Origami Elephant και SECTOR02, πιστεύεται ότι προέρχεται από την Ινδία. Οι επιθέσεις τους περιλαμβάνουν τη χρήση ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος (spear-phishing) και απατεώνων εφαρμογών Android για τη διάδοση κακόβουλου λογισμικού.

Η πιο πρόσφατη αξιολόγηση από ερευνητές επεκτείνεται σε μια εξέταση των εκστρατειών διπλής επίθεσης από αυτόν τον παράγοντα απειλών τον Απρίλιο του 2023, όπου ανέπτυξαν τα πλαίσια Agent K11 και RTY.

ElizaRAT Χρησιμοποιείται σε επιθέσεις στην Ινδία

Αυτή η αποκάλυψη έρχεται στον απόηχο της Zscaler ThreatLabz που αποκαλύπτει νέες κακόβουλες δραστηριότητες που έχει αναλάβει η Transparent Tribe με έδρα το Πακιστάν (επίσης γνωστή ως APT36). Αυτή η ομάδα στόχευε τομείς της ινδικής κυβέρνησης χρησιμοποιώντας ένα ενημερωμένο οπλοστάσιο κακόβουλου λογισμικού, το οποίο περιλαμβάνει έναν προηγουμένως μη τεκμηριωμένο trojan των Windows που ονομάζεται ElizaRAT.

Το ElizaRAT παραδίδεται ως δυαδικό αρχείο .NET και δημιουργεί ένα κανάλι επικοινωνίας μέσω του Telegram, επιτρέποντας στους παράγοντες απειλών να αποκτήσουν τον πλήρη έλεγχο του στοχευμένου τερματικού σημείου.

Η Transparent Tribe, που δραστηριοποιείται από το 2013, έχει χρησιμοποιήσει τακτικές όπως η συλλογή διαπιστευτηρίων και η διανομή κακόβουλου λογισμικού, συχνά διανέμοντας παραποιημένα προγράμματα εγκατάστασης εφαρμογών της κυβέρνησης της Ινδίας, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων Kavach. Έχουν επίσης οπλίσει πλαίσια ανοιχτού κώδικα εντολής και ελέγχου (C2) όπως το Mythic.

Σε ένδειξη ότι αυτή η ομάδα hacking έχει στρέψει την προσοχή της στα συστήματα Linux, ο Zscaler σημείωσε ότι βρήκαν ένα μικρό σύνολο αρχείων εισόδου στην επιφάνεια εργασίας που διευκολύνουν την εκτέλεση δυαδικών αρχείων ELF που βασίζονται σε Python. Αυτά περιλαμβάνουν το GLOBSHELL για την εξαγωγή αρχείων και το PYSHELLFOX για την κλοπή δεδομένων συνεδρίας από το πρόγραμμα περιήγησης Mozilla Firefox.