Firebird Backdoor feltételesen kapcsolódik az indiai APT-hez

A DoNot Team néven ismert személyek egy új, Firebird nevű .NET-alapú hátsó ajtó telepítéséhez kapcsolódtak, amelyet korlátozott számú pakisztáni és afganisztáni célpontra irányítottak.

A kiberbiztonsági kutatók kijelentették, hogy a támadási szekvenciákat egy CSVtyrei nevű letöltő alkalmazására is beállítják, amelyet a Vtyreihez való hasonlósága miatt neveztek el. Úgy tűnt, hogy a megadott kód bizonyos részei nem működnek, ami folyamatos fejlesztési erőfeszítésekre utal.

A Vtyrei (más néven BREEZESUGAR) egy kezdeti hasznos terhelésre és letöltő törzsre utal, amelyet a fenyegetés szereplője korábban az RTY néven ismert kártevő-keretrendszer terjesztésére használt.

A DoNot Team, amely az APT-C-35, Origami Elephant és SECTOR02 álnevekkel is rendelkezik, feltehetően Indiából származik. Támadásaik közé tartozik az adathalász e-mailek és a rosszindulatú Android-alkalmazások használata rosszindulatú programok terjesztésére.

A kutatók legutóbbi értékelése kibővíti a fenyegetés szereplőjének 2023 áprilisában végrehajtott kettős támadási kampányainak vizsgálatát, ahol az Agent K11 és RTY keretrendszert telepítették.

ElizaRAT Indiát elleni támadásokban használják

Ez a közzététel a Zscaler ThreatLabz nyomán érkezett, amely új rosszindulatú tevékenységeket tárt fel a pakisztáni székhelyű Transparent Tribe (más néven APT36) által. Ez a csoport az indiai kormány szektorait célozta meg a rosszindulatú programok frissített arzenáljával, amely magában foglalja az ElizaRAT nevű, korábban nem dokumentált Windows trójai programot.

Az ElizaRAT .NET binárisként érkezik, és kommunikációs csatornát hoz létre a Telegramon keresztül, lehetővé téve a fenyegetés szereplői számára, hogy teljes irányítást szerezzenek a megcélzott végpont felett.

A 2013 óta működő Transparent Tribe olyan taktikákat alkalmazott, mint a hitelesítő adatok begyűjtése és a rosszindulatú programok terjesztése, gyakran terjesztve az indiai kormányzati alkalmazások manipulált telepítőit, például a Kavach többtényezős hitelesítést. Fegyverezték a nyílt forráskódú parancs- és vezérlési (C2) keretrendszereket is, mint például a Mythic.

Annak jeleként, hogy ez a hackercsoport a Linux rendszerek felé fordította a figyelmét, Zscaler megjegyezte, hogy találtak egy kis asztali belépési fájlt, amely megkönnyíti a Python-alapú ELF binárisok végrehajtását. Ezek közé tartozik a GLOBSHELL a fájlok kiszűrésére és a PYSSHELLFOX a munkamenetadatok ellopására a Mozilla Firefox böngészőből.