Бэкдор Firebird предположительно связан с индийским APT

Группа лиц, известная как DoNot Team, была связана с развертыванием нового бэкдора на базе .NET под названием Firebird, который был направлен на ограниченное количество целей в Пакистане и Афганистане.

Исследователи кибербезопасности заявили, что последовательность атак также настроена на использование загрузчика CSVtyrei, названного так из-за его сходства с Vtyrei. Некоторые разделы предоставленного кода оказались неработоспособными, что указывает на продолжающиеся усилия по разработке.

Vtyrei (также известный как BREEZESUGAR) — это первоначальный вариант полезной нагрузки и загрузчика, который злоумышленник ранее использовал для распространения вредоносной среды, известной как RTY.

Считается, что команда DoNot, также известная под псевдонимами APT-C-35, Origami Elephant и SECTOR02, родом из Индии. Их атаки включают использование целевых фишинговых писем и мошеннических приложений Android для распространения вредоносного ПО.

Самая последняя оценка исследователей расширяет изучение кампаний двойной атаки, проведенных этим злоумышленником в апреле 2023 года, когда они развернули платформы Agent K11 и RTY.

ElizaRAT использовался в атаках на Индию

Это раскрытие произошло после того, как Zscaler ThreatLabz раскрыла новые вредоносные действия, предпринятые пакистанской организацией Transparent Tribe (также известной как APT36). Эта группа атаковала секторы индийского правительства, используя обновленный арсенал вредоносного ПО, в который входит ранее недокументированный троян для Windows под названием ElizaRAT.

ElizaRAT поставляется в виде двоичного файла .NET и устанавливает канал связи через Telegram, позволяя злоумышленникам получить полный контроль над целевой конечной точкой.

Transparent Tribe, действующая с 2013 года, использует такие методы, как сбор учетных данных и распространение вредоносного ПО, часто распространяя поддельные установщики индийских правительственных приложений, таких как многофакторная аутентификация Kavach. Они также использовали в качестве оружия системы управления и контроля (C2) с открытым исходным кодом, такие как Mythic.

В знак того, что эта хакерская группа обратила свое внимание на системы Linux, Zscaler отметил, что они нашли небольшой набор файлов входа на рабочий стол, которые облегчают выполнение двоичных файлов ELF на основе Python. К ним относятся GLOBSHELL для кражи файлов и PYSHELLFOX для кражи данных сеанса из браузера Mozilla Firefox.