Firebird Backdoor
El grupo de amenazas identificado como DoNot Team se ha asociado con la implementación de una innovadora puerta trasera basada en .NET conocida como Firebird. Esta puerta trasera se ha utilizado para atacar a un pequeño número de víctimas ubicadas en Pakistán y Afganistán.
Los investigadores de ciberseguridad han identificado que estos ataques están configurados para implementar un descargador llamado CSVtyrei, un nombre derivado de sus similitudes con Vtyrei. Vtyrei, también conocido como BREEZESUGAR, denota una carga útil de etapa inicial y una variante de descarga utilizada anteriormente por el adversario para distribuir un marco malicioso llamado RTY.
Tabla de contenido
DoNot Team es un actor activo de amenazas de ciberdelincuencia
DoNot Team, también conocido como APT-C-35, Origami Elephant y SECTOR02, es un grupo de Amenaza Persistente Avanzada (APT) que se cree que tiene afiliaciones con el gobierno indio. Este grupo ha estado activo desde al menos 2016 y existe la posibilidad de que su formación sea anterior a este período.
El objetivo principal de DoNot Team parece ser el espionaje en apoyo de los intereses del gobierno indio. Los investigadores de ciberseguridad han observado múltiples campañas realizadas por este grupo con este objetivo específico en mente.
Si bien el ataque inicial conocido de DoNot Team tuvo como objetivo una empresa de telecomunicaciones en Noruega, su enfoque gira principalmente en torno al espionaje en el sur de Asia. Su principal área de interés es la región de Cachemira, dado el actual conflicto de Cachemira. Esta disputa ha persistido durante mucho tiempo, y tanto India como Pakistán reclaman soberanía sobre toda la región, aunque cada uno controla sólo una parte. Hasta ahora, los esfuerzos diplomáticos para alcanzar una solución duradera a esta cuestión han resultado infructuosos.
DoNot Team se dirige principalmente a entidades asociadas con gobiernos, ministerios de relaciones exteriores, organizaciones militares y embajadas en sus operaciones.
Firebird Backdoor es una nueva herramienta amenazante implementada por el equipo DoNot
Un examen exhaustivo ha revelado la presencia de una nueva puerta trasera basada en .NET denominada Firebird. Esta puerta trasera consta de un cargador principal y un mínimo de tres complementos. En particular, todas las muestras analizadas mostraron una fuerte protección a través de ConfuserEx, lo que llevó a una tasa de detección extremadamente baja. Además, ciertas secciones del código dentro de los ejemplos parecían no operativas, lo que sugiere actividades de desarrollo en curso.
La región del sur de Asia es un semillero de actividades de ciberdelincuencia
Se han observado actividades maliciosas que involucran a la Tribu Transparente con sede en Pakistán, también conocida como APT36, dirigida a sectores dentro del gobierno indio. Han empleado un arsenal de malware actualizado, que incluye un troyano de Windows no documentado anteriormente llamado ElizaRAT.
Transparent Tribe, operativa desde 2013, ha participado en ataques de recolección de credenciales y distribución de malware. A menudo distribuyen instaladores troyanizados de aplicaciones del gobierno indio como la autenticación multifactor Kavach. Además, han aprovechado marcos de comando y control (C2) de código abierto, como Mythic.
En particular, Transparent Tribe ha ampliado su enfoque a los sistemas Linux. Los investigadores han identificado una cantidad limitada de archivos de entrada de escritorio que facilitan la ejecución de binarios ELF basados en Python, incluido GLOBSHELL para la exfiltración de archivos y PYSHELLFOX para extraer datos de sesión del navegador Mozilla Firefox. Los sistemas operativos basados en Linux prevalecen en el sector gubernamental indio.
Además de DoNot Team y Transparent Tribe, ha surgido otro actor-estado-nación de la región de Asia y el Pacífico con un interés particular en Pakistán. Este actor, conocido como Mysterious Elephant o APT-K-47, ha sido vinculado a una campaña de phishing. Esta campaña implementa una novedosa puerta trasera llamada ORPCBackdoor, que tiene la capacidad de ejecutar archivos y comandos en la computadora de la víctima y comunicarse con un servidor malicioso para enviar o recibir archivos y comandos.
