Firebird Backdoor feltételesen kapcsolódik az indiai APT-hez
A DoNot Team néven ismert személyek egy új, Firebird nevű .NET-alapú hátsó ajtó telepítéséhez kapcsolódtak, amelyet korlátozott számú pakisztáni és afganisztáni célpontra irányítottak.
A kiberbiztonsági kutatók kijelentették, hogy a támadási szekvenciákat egy CSVtyrei nevű letöltő alkalmazására is beállítják, amelyet a Vtyreihez való hasonlósága miatt neveztek el. Úgy tűnt, hogy a megadott kód bizonyos részei nem működnek, ami folyamatos fejlesztési erőfeszítésekre utal.
A Vtyrei (más néven BREEZESUGAR) egy kezdeti hasznos terhelésre és letöltő törzsre utal, amelyet a fenyegetés szereplője korábban az RTY néven ismert kártevő-keretrendszer terjesztésére használt.
A DoNot Team, amely az APT-C-35, Origami Elephant és SECTOR02 álnevekkel is rendelkezik, feltehetően Indiából származik. Támadásaik közé tartozik az adathalász e-mailek és a rosszindulatú Android-alkalmazások használata rosszindulatú programok terjesztésére.
A kutatók legutóbbi értékelése kibővíti a fenyegetés szereplőjének 2023 áprilisában végrehajtott kettős támadási kampányainak vizsgálatát, ahol az Agent K11 és RTY keretrendszert telepítették.
ElizaRAT Indiát elleni támadásokban használják
Ez a közzététel a Zscaler ThreatLabz nyomán érkezett, amely új rosszindulatú tevékenységeket tárt fel a pakisztáni székhelyű Transparent Tribe (más néven APT36) által. Ez a csoport az indiai kormány szektorait célozta meg a rosszindulatú programok frissített arzenáljával, amely magában foglalja az ElizaRAT nevű, korábban nem dokumentált Windows trójai programot.
Az ElizaRAT .NET binárisként érkezik, és kommunikációs csatornát hoz létre a Telegramon keresztül, lehetővé téve a fenyegetés szereplői számára, hogy teljes irányítást szerezzenek a megcélzott végpont felett.
A 2013 óta működő Transparent Tribe olyan taktikákat alkalmazott, mint a hitelesítő adatok begyűjtése és a rosszindulatú programok terjesztése, gyakran terjesztve az indiai kormányzati alkalmazások manipulált telepítőit, például a Kavach többtényezős hitelesítést. Fegyverezték a nyílt forráskódú parancs- és vezérlési (C2) keretrendszereket is, mint például a Mythic.
Annak jeleként, hogy ez a hackercsoport a Linux rendszerek felé fordította a figyelmét, Zscaler megjegyezte, hogy találtak egy kis asztali belépési fájlt, amely megkönnyíti a Python-alapú ELF binárisok végrehajtását. Ezek közé tartozik a GLOBSHELL a fájlok kiszűrésére és a PYSSHELLFOX a munkamenetadatok ellopására a Mozilla Firefox böngészőből.