Firebird Backdoor preliminariai susietas su Indijos APT

Asmenų grupė, žinoma kaip DoNot Team, buvo prijungta prie naujų .NET pagrindu sukurtų užpakalinių durų, vadinamų Firebird, diegimu, kuris buvo nukreiptas į ribotą skaičių taikinių Pakistane ir Afganistane.

Kibernetinio saugumo tyrinėtojai teigė, kad atakų sekos taip pat sukurtos siekiant pristatyti atsisiuntimo programą, pavadintą CSVtyrei, pavadintą tokiu dėl panašumo į Vtyrei. Atrodė, kad tam tikros pateikto kodo skiltys neveikia, o tai rodo nuolatines plėtros pastangas.

„Vtyrei“ (taip pat žinomas kaip BREEZESUGAR) reiškia pradinę naudingąją apkrovą ir atsisiuntimo programą, kurią grėsmės veikėjas anksčiau naudojo platindamas kenkėjiškų programų sistemą, žinomą kaip RTY.

Manoma, kad „DoNot Team“, kuri taip pat vadinama slapyvardžiais APT-C-35, Origami Elephant ir SECTOR02, yra kilusi iš Indijos. Jų atakos apima sukčiavimo el. laiškų ir nesąžiningų „Android“ programų naudojimą kenkėjiškoms programoms platinti.

Naujausiame tyrėjų vertinime išplečiamas šio grėsmės veikėjo dvigubų atakų kampanijų tyrimas 2023 m. balandžio mėn., kai jie panaudojo agento K11 ir RTY sistemas.

ElizaRAT naudojamas išpuoliams prieš Indiją

Šis atskleidimas pateikiamas po to, kai „Zscaler ThreatLabz“ atskleidžia naują kenkėjišką veiklą, kurią ėmėsi Pakistane įsikūrusi „Transparent Tribe“ (taip pat žinoma kaip APT36). Ši grupė taikėsi į Indijos vyriausybės sektorius naudodama atnaujintą kenkėjiškų programų arsenalą, į kurį įeina anksčiau nedokumentuotas Windows Trojos arklys, pavadintas ElizaRAT.

ElizaRAT pristatomas kaip .NET dvejetainis failas ir sukuria ryšio kanalą per telegramą, leidžiantį grėsmės veikėjams visiškai kontroliuoti tikslinį galutinį tašką.

„Transparent Tribe“, veikianti nuo 2013 m., naudojo tokias taktikas kaip kredencialų rinkimas ir kenkėjiškų programų platinimas, dažnai platindama sugadintus Indijos vyriausybinių programų, pvz., „Kavach“ kelių veiksnių autentifikavimo, diegimo įrenginius. Jie taip pat ginklavo atvirojo kodo komandų ir valdymo (C2) sistemas, tokias kaip „Mythic“.

Kaip ženklą, kad ši įsilaužimo grupė atkreipė dėmesį į Linux sistemas, Zscaler pažymėjo, kad jie rado nedidelį darbalaukio įvesties failų rinkinį, palengvinantį Python pagrindu sukurtų ELF dvejetainių failų vykdymą. Tai apima GLOBSHELL failams išfiltruoti ir PYSSHELLFOX seanso duomenims pavogti iš „Mozilla Firefox“ naršyklės.