Backdoor Firebird Baru Tim DoNot Menghantam Pakistan dan Afghanistan

 

Aktor ancaman yang dikenal sebagai Tim DoNot telah dikaitkan dengan penggunaan pintu belakang berbasis .NET bernama Firebird yang menargetkan segelintir korban di Pakistan dan Afghanistan.

 Perusahaan keamanan siber Kaspersky, yang mengungkapkan temuan tersebut dalam laporan tren APT Q3 2023, mengatakan rantai serangan juga dikonfigurasi untuk mengirimkan pengunduh bernama CSVtyrei, dinamai demikian karena kemiripannya dengan Vtyrei.

 “Beberapa kode dalam contoh tampak tidak berfungsi, mengisyaratkan upaya pengembangan yang sedang berlangsung,” kata perusahaan Rusia tersebut.

 Vtyrei (alias BREEZESUGAR) mengacu pada muatan tahap pertama dan jenis pengunduh yang sebelumnya dimanfaatkan oleh musuh untuk mengirimkan kerangka malware yang dikenal sebagai RTY.

 Tim DoNot, juga dikenal dengan nama APT-C-35, Origami Elephant, dan SECTOR02, diduga berasal dari India, dengan serangannya menggunakan email spear-phishing dan aplikasi Android jahat untuk menyebarkan malware.

Penilaian terbaru dari Kaspersky didasarkan pada analisis rangkaian serangan kembar pelaku ancaman pada bulan April 2023 untuk menerapkan kerangka kerja Agen K11 dan RTY.

 Pengungkapan ini juga menyusul pengungkapan aktivitas jahat baru oleh Zscaler ThreatLabz yang dilakukan oleh aktor Suku Transparan (alias APT36) yang berbasis di Pakistan yang menargetkan sektor pemerintahan India menggunakan persenjataan malware terbaru yang terdiri dari trojan Windows yang sebelumnya tidak terdokumentasikan yang dijuluki ElizaRAT.

 “ElizaRAT dikirimkan sebagai biner .NET dan membangun saluran komunikasi C2 melalui Telegram, memungkinkan pelaku ancaman untuk melakukan kontrol penuh atas titik akhir yang ditargetkan,” kata peneliti keamanan Sudeep Singh bulan lalu.

 Aktif sejak tahun 2013, Suku Transparan telah memanfaatkan serangan pengumpulan kredensial dan distribusi malware, sering kali mendistribusikan penginstal aplikasi pemerintah India yang telah di-trojan seperti autentikasi multi-faktor Kavach dan menggunakan kerangka kerja perintah dan kontrol (C2) sumber terbuka seperti Mythic.

 Sebagai tanda bahwa kru peretas juga mengincar sistem Linux, Zscaler mengatakan pihaknya mengidentifikasi sekumpulan kecil file entri desktop yang membuka jalan bagi eksekusi binari ELF berbasis Python, termasuk GLOBSHELL untuk eksfiltrasi file dan PYSHELLFOX untuk mencuri. data sesi dari browser Mozilla Firefox.

 “Sistem operasi berbasis Linux banyak digunakan di sektor pemerintahan India,” kata Singh, seraya menambahkan bahwa penargetan lingkungan Linux juga kemungkinan besar dilatarbelakangi oleh keputusan India untuk mengganti OS Microsoft Windows dengan Maya OS, sistem operasi berbasis Debian Linux. lintas sektor pemerintahan dan pertahanan.

Bergabung dengan Tim DoNot dan Suku Transparan adalah aktor negara-bangsa lain dari kawasan Asia-Pasifik yang fokus pada Pakistan.

 Dengan nama sandi Gajah Misterius (alias APT-K-47), kelompok peretas ini dikaitkan dengan kampanye spear-phishing yang menjatuhkan pintu belakang baru bernama ORPCBackdoor yang mampu mengeksekusi file dan perintah di komputer korban, dan menerima file atau perintah dari a server jahat.

 Menurut Tim Knownsec 404, APT-K-47 memiliki alat dan penargetan yang tumpang tindih dengan aktor lain seperti SideWinder, Patchwork, Confucius, dan Bitter, yang sebagian besar dinilai selaras dengan India.