Firebird Backdoor

DoNot Team として特定された脅威グループは、Firebird として知られる革新的な .NET ベースのバックドアの展開に関連付けられています。このバックドアは、パキスタンとアフガニスタンにいる少数の被害者をターゲットにするために利用されています。

サイバーセキュリティ研究者は、これらの攻撃が CSVtyrei と呼ばれるダウンローダーを展開するように設定されていることを特定しました。CSVtyrei という名前は、Vtyrei との類似点に由来しています。 BREEZESUGAR としても知られる Vtyrei は、RTY と呼ばれる悪意のあるフレームワークを配布するために敵対者によって以前に使用されていた初期段階のペイロードおよびダウンローダーの亜種を指します。

DoNot チームは積極的なサイバー犯罪脅威アクターです

APT-C-35、Origami Elephant、SECTOR02 としても知られる DoNot Team は、インド政府と関係があると考えられている高度持続的脅威 (APT) グループです。このグループは少なくとも 2016 年から活動しており、結成はこの時期より前である可能性があります。

DoNot Team の主な目的は、インド政府の利益を支援するスパイ活動であるようです。サイバーセキュリティ研究者は、この特定の目的を念頭に置いてこのグループが実行した複数のキャンペーンを観察しました。

DoNot Team の最初の既知の攻撃はノルウェーの電気通信会社を標的としましたが、その焦点は主に南アジアでのスパイ活動にあります。現在進行中のカシミール紛争を考慮すると、彼らの主な関心地域はカシミール地域である。この紛争は長期にわたって続いており、インドとパキスタンの両国は、それぞれが一部しか支配していないにもかかわらず、この地域全体に対する主権を主張している。この問題の永続的な解決に向けた外交努力は、これまでのところ失敗していることが証明されている。

DoNot Team は主に政府、外務省、軍事組織、大使館に関連する組織を活動の対象としています。

Firebird バックドアは DoNot チームによって導入された新しい脅威ツールです

広範な調査により、Firebird と呼ばれる新しい .NET ベースのバックドアの存在が明らかになりました。このバックドアは、プライマリ ローダーと少なくとも 3 つのプラグインで構成されます。特に、分析されたすべてのサンプルは ConfuserEx による強力な保護を示し、検出率が非常に低くなりました。さらに、サンプル内のコードの特定のセクションは動作しないように見え、進行中の開発活動を示唆しています。

南アジア地域はサイバー犯罪活動の温床となっている

パキスタンに本拠を置く透明部族（APT36としても知られる）が関与し、インド政府内の部門を標的とした悪意のある活動が観察されています。彼らは、これまで文書化されていなかった ElizaRAT という名前の Windows トロイの木馬を含む、最新のマルウェア 兵器を使用しました。

Transparent Tribe は 2013 年から活動しており、認証情報の収集とマルウェア配布攻撃に取り組んできました。彼らは、Kavach 多要素認証などのインド政府アプリケーションのトロイの木馬化したインストーラーを配布することがよくあります。さらに、Mythic などのオープンソースのコマンド アンド コントロール (C2) フレームワークも活用しています。

特に、Transparent Tribe はその焦点を Linux システムに拡大しました。研究者らは、ファイル抽出用の GLOBSHELL や Mozilla Firefox ブラウザからセッション データを抽出するための PYSHELLFOX など、Python ベースの ELF バイナリの実行を容易にする限られた数のデスクトップ エントリ ファイルを特定しました。 Linux ベースのオペレーティング システムは、インド政府部門で普及しています。

DoNot Team と Transparent Tribe に加えて、アジア太平洋地域の別の国民国家主体がパキスタンに特に関心を持って登場しました。 Mysterious Elephant または APT-K-47 として知られるこの攻撃者は、スピア フィッシング キャンペーンに関与しているとされています。このキャンペーンでは、ORPCBackdoor と呼ばれる新しいバックドアが展開されます。このバックドアには、被害者のコンピュータ上でファイルやコマンドを実行し、悪意のあるサーバーと通信してファイルやコマンドを送受信する機能があります。