Firebird Backdoor
Die als DoNot Team identifizierte Bedrohungsgruppe wurde mit der Bereitstellung einer innovativen .NET-basierten Hintertür namens Firebird in Verbindung gebracht. Diese Hintertür wurde genutzt, um eine kleine Anzahl von Opfern in Pakistan und Afghanistan anzugreifen.
Cybersicherheitsforscher haben herausgefunden, dass diese Angriffe darauf abzielen, einen Downloader namens CSVtyrei einzusetzen, dessen Name sich von seiner Ähnlichkeit mit Vtyrei ableitet. Vtyrei, auch bekannt als BREEZESUGAR, bezeichnet eine Payload- und Downloader-Variante im Anfangsstadium, die zuvor vom Angreifer zur Verbreitung eines bösartigen Frameworks namens RTY verwendet wurde.
Inhaltsverzeichnis
DoNot Team ist ein aktiver Bedrohungsakteur im Bereich Cyberkriminalität
DoNot Team, auch bekannt als APT-C-35, Origami Elephant und SECTOR02, ist eine Advanced Persistent Threat (APT)-Gruppe, von der angenommen wird, dass sie Verbindungen zur indischen Regierung hat. Diese Gruppe ist seit mindestens 2016 aktiv und es besteht die Möglichkeit, dass ihre Gründung vor diesem Zeitraum erfolgte.
Das Hauptziel des DoNot-Teams scheint Spionage zur Unterstützung der Interessen der indischen Regierung zu sein. Cybersicherheitsforscher haben mehrere Kampagnen beobachtet, die von dieser Gruppe mit diesem spezifischen Ziel durchgeführt wurden.
Während der erste bekannte Angriff von DoNot Team auf ein Telekommunikationsunternehmen in Norwegen abzielte, konzentrierte sich der Angriff hauptsächlich auf Spionage in Südasien. Ihr Hauptinteresse liegt angesichts des anhaltenden Kaschmir-Konflikts in der Region Kaschmir. Dieser Streit dauert schon lange an, da sowohl Indien als auch Pakistan die Souveränität über die gesamte Region beanspruchen, obwohl sie jeweils nur einen Teil kontrollieren. Diplomatische Bemühungen um eine dauerhafte Lösung dieses Problems waren bislang erfolglos.
DoNot Team zielt bei seinen Einsätzen in erster Linie auf Einrichtungen ab, die mit Regierungen, Außenministerien, Militärorganisationen und Botschaften in Verbindung stehen.
Firebird Backdoor ist ein neues Bedrohungstool, das vom DoNot-Team bereitgestellt wird
Eine umfassende Untersuchung hat das Vorhandensein einer neuen .NET-basierten Hintertür namens Firebird ergeben. Diese Hintertür besteht aus einem primären Loader und mindestens drei Plugins. Bemerkenswert ist, dass alle analysierten Proben einen starken Schutz durch ConfuserEx aufwiesen, was zu einer extrem niedrigen Erkennungsrate führte. Darüber hinaus schienen bestimmte Codeabschnitte in den Beispielen nicht betriebsbereit zu sein, was auf laufende Entwicklungsaktivitäten hindeutet.
Die Region Südasien ist eine Brutstätte für Cyberkriminalität
Es wurden böswillige Aktivitäten beobachtet, an denen der in Pakistan ansässige Transparent Tribe, auch bekannt als APT36, beteiligt war, der sich gegen Teile der indischen Regierung richtete. Sie haben ein aktualisiertes Malware-Arsenal eingesetzt, zu dem auch ein bisher undokumentierter Windows-Trojaner namens ElizaRAT gehört.
Transparent Tribe ist seit 2013 aktiv und beteiligt sich an Angriffen zum Sammeln von Anmeldeinformationen und zur Verbreitung von Malware. Sie verbreiten häufig trojanisierte Installationsprogramme für indische Regierungsanwendungen wie die Multi-Faktor-Authentifizierung von Kavach. Darüber hinaus haben sie Open-Source-Command-and-Control-Frameworks (C2) wie Mythic genutzt.
Insbesondere hat Transparent Tribe seinen Fokus auf Linux-Systeme ausgeweitet. Forscher haben eine begrenzte Anzahl von Desktop-Eintragsdateien identifiziert, die die Ausführung von Python-basierten ELF-Binärdateien erleichtern, darunter GLOBSHELL zur Dateiexfiltration und PYSHELLFOX zum Extrahieren von Sitzungsdaten aus dem Mozilla Firefox-Browser. Linux-basierte Betriebssysteme sind im indischen Regierungssektor weit verbreitet.
Neben DoNot Team und Transparent Tribe hat sich ein weiterer nationalstaatlicher Akteur aus dem asiatisch-pazifischen Raum mit besonderem Interesse an Pakistan herauskristallisiert. Dieser als Mysterious Elephant oder APT-K-47 bekannte Akteur wurde mit einer Spear-Phishing-Kampagne in Verbindung gebracht. Diese Kampagne setzt eine neuartige Hintertür namens ORPCBackdoor ein, die in der Lage ist, Dateien und Befehle auf dem Computer des Opfers auszuführen und mit einem bösartigen Server zu kommunizieren, um Dateien und Befehle zu senden oder zu empfangen.
