Backdoor Firebirda wstępnie powiązany z indyjskim APT

Grupa osób znana jako DoNot Team została powiązana z wdrożeniem nowego backdoora opartego na platformie .NET o nazwie Firebird, który został skierowany na ograniczoną liczbę celów w Pakistanie i Afganistanie.

Badacze zajmujący się cyberbezpieczeństwem stwierdzili, że sekwencje ataków mają również na celu wprowadzenie modułu pobierania o nazwie CSVtyrei, nazwanego tak ze względu na jego podobieństwo do Vtyrei. Niektóre sekcje dostarczonego kodu wydawały się nie działać, co wskazuje na trwające prace rozwojowe.

Vtyrei (znany również jako BREEZESUGAR) odnosi się do początkowego ładunku i odmiany modułu pobierania, którą ugrupowanie zagrażające wykorzystało wcześniej do dystrybucji środowiska szkodliwego oprogramowania znanego jako RTY.

Uważa się, że zespół DoNot Team, występujący również pod pseudonimami APT-C-35, Origami Elephant i SECTOR02, pochodzi z Indii. Ich ataki polegają na wykorzystaniu wiadomości e-mail typu spear-phishing i fałszywych aplikacji na Androida do rozprzestrzeniania złośliwego oprogramowania.

Najnowsza ocena przeprowadzona przez badaczy rozszerza się o zbadanie kampanii podwójnych ataków przeprowadzonych przez tego ugrupowania zagrażającego w kwietniu 2023 r., podczas których wdrożono platformy Agent K11 i RTY.

ElizaRAT użyty w atakach na Indie

Ujawnienie to następuje po ujawnieniu przez Zscaler ThreatLabz nowych szkodliwych działań podejmowanych przez pakistańską grupę Transparent Tribe (znaną również jako APT36). Grupa ta atakuje sektory indyjskiego rządu, wykorzystując zaktualizowany arsenał złośliwego oprogramowania, który obejmuje wcześniej nieudokumentowanego trojana dla systemu Windows o nazwie ElizaRAT.

ElizaRAT jest dostarczany w postaci pliku binarnego .NET i ustanawia kanał komunikacyjny poprzez Telegram, umożliwiając cyberprzestępcom uzyskanie pełnej kontroli nad docelowym punktem końcowym.

Firma Transparent Tribe, działająca od 2013 r., wykorzystuje taktyki takie jak zbieranie danych uwierzytelniających i dystrybucja złośliwego oprogramowania, często dystrybuując zmodyfikowane instalatory aplikacji indyjskiego rządu, takich jak uwierzytelnianie wieloskładnikowe Kavach. Uzbrojyli także platformy dowodzenia i kontroli (C2) o otwartym kodzie źródłowym, takie jak Mythic.

Na znak, że ta grupa hakerska zwróciła swoją uwagę na systemy Linux, Zscaler zauważył, że znalazła niewielki zestaw plików wejściowych dla komputerów stacjonarnych, które ułatwiają wykonywanie plików binarnych ELF opartych na języku Python. Należą do nich GLOBSHELL do eksfiltracji plików i PYSHELLFOX do kradzieży danych sesji z przeglądarki Mozilla Firefox.