La porte dérobée Firebird est provisoirement liée à l'APT indien
Le groupe d'individus connu sous le nom de DoNot Team a été associé au déploiement d'une nouvelle porte dérobée basée sur .NET appelée Firebird, qui visait un nombre limité de cibles au Pakistan et en Afghanistan.
Les chercheurs en cybersécurité ont déclaré que les séquences d'attaque sont également conçues pour introduire un téléchargeur nommé CSVtyrei, nommé ainsi en raison de sa ressemblance avec Vtyrei. Certaines sections du code fourni semblaient non opérationnelles, ce qui indique des efforts de développement en cours.
Vtyrei (également connu sous le nom de BREEZESUGAR) fait référence à une charge utile initiale et à une souche de téléchargement que l'acteur malveillant avait précédemment utilisée pour distribuer un framework de malware connu sous le nom de RTY.
DoNot Team, qui porte également les alias APT-C-35, Origami Elephant et SECTOR02, serait originaire d'Inde. Leurs attaques impliquent l’utilisation d’e-mails de spear phishing et d’applications Android malveillantes pour propager des logiciels malveillants.
L'évaluation la plus récente réalisée par les chercheurs s'étend sur un examen des doubles campagnes d'attaque menées par cet acteur menaçant en avril 2023, où ils ont déployé les frameworks Agent K11 et RTY.
ElizaRAT utilisée dans les attaques contre l'Inde
Cette divulgation fait suite à la révélation par Zscaler ThreatLabz de nouvelles activités malveillantes entreprises par Transparent Tribe (également connu sous le nom d'APT36), basé au Pakistan. Ce groupe cible des secteurs du gouvernement indien en utilisant un arsenal mis à jour de logiciels malveillants, qui comprend un cheval de Troie Windows jusqu'alors non documenté nommé ElizaRAT.
ElizaRAT est livré sous forme de binaire .NET et établit un canal de communication via Telegram, permettant aux acteurs malveillants d'acquérir un contrôle total sur le point de terminaison ciblé.
Transparent Tribe, actif depuis 2013, a utilisé des tactiques telles que la collecte d'informations d'identification et la distribution de logiciels malveillants, distribuant souvent des installateurs falsifiés d'applications gouvernementales indiennes telles que l'authentification multifacteur Kavach. Ils ont également armé des cadres de commande et de contrôle (C2) open source comme Mythic.
Signe que ce groupe de hackers a tourné son attention vers les systèmes Linux, Zscaler a indiqué avoir trouvé un petit ensemble de fichiers d'entrée de bureau qui facilitent l'exécution de binaires ELF basés sur Python. Ceux-ci incluent GLOBSHELL pour exfiltrer des fichiers et PYSHELLFOX pour voler les données de session du navigateur Mozilla Firefox.