Firebird バックドアがインドの APT と暫定的にリンク
DoNot Team として知られる個人のグループは、Firebird と呼ばれる新しい .NET ベースのバックドアの展開に関与しています。このバックドアは、パキスタンとアフガニスタンの限られた数の標的に向けられています。
サイバーセキュリティ研究者らは、この攻撃シーケンスは CSVtyrei という名前のダウンローダーを導入するようにも設定されており、Vtyrei に似ていることからそのように名付けられたと述べています。提供されたコードの特定のセクションは動作しないように見え、進行中の開発作業を示しています。
Vtyrei (BREEZESUGAR としても知られる) は、RTY として知られるマルウェア フレームワークを配布するために脅威アクターが以前に利用していた初期ペイロードとダウンローダーの系統を指します。
APT-C-35、Origami Elephant、SECTOR02 という別名でも知られる DoNot Team は、インド発祥と考えられています。彼らの攻撃には、スピア フィッシング メールや不正な Android アプリが使用され、マルウェアが拡散されます。
研究者らによる最新の評価は、2023 年 4 月にこの攻撃者によるエージェント K11 および RTY フレームワークを展開した二重攻撃キャンペーンの調査を拡張したものです。
ElizaRATがインドへの攻撃に使用される
この開示は、Zscaler ThreatLabz がパキスタンに本拠を置く Transparent Tribe (APT36 としても知られる) によって行われた新たな悪意のある活動を明らかにしたことを受けて行われました。このグループは、これまで文書化されていなかった ElizaRAT という名前の Windows トロイの木馬を含む、最新のマルウェアを使用してインド政府の各部門をターゲットにしています。
ElizaRAT は .NET バイナリとして配信され、Telegram を介して通信チャネルを確立することで、攻撃者が標的のエンドポイントを完全に制御できるようになります。
2013 年から活動を開始している Transparent Tribe は、認証情報の収集やマルウェア配布などの戦術を利用し、Kavach 多要素認証などのインド政府アプリケーションの改ざんされたインストーラーを配布することがよくあります。彼らはまた、Mythic のようなオープンソースのコマンドアンドコントロール (C2) フレームワークを武器化しました。
このハッキング グループが Linux システムに注目している兆候として、Zscaler は、Python ベースの ELF バイナリの実行を容易にするデスクトップ エントリ ファイルの小さなセットを発見したと指摘しました。これらには、ファイルを抽出するための GLOBSHELL と、Mozilla Firefox ブラウザーからセッション データを盗むための PYSHELLFOX が含まれます。