A equipe DoNot lança um novo backdoor chamado Firebird em ataques ao Paquistão e Afeganistão
24 de Outubro de 2023

ator de ameaças conhecido como Equipe DoNot tem sido associado ao uso de um novo backdoor .NET chamado Firebird, direcionado a um pequeno grupo de vítimas no Paquistão e no Afeganistão.

A empresa de cibersegurança Kaspersky, que divulgou as descobertas em seu relatório de tendências APT Q3 2023, disse que as cadeias de ataque também estão configuradas para entregar um downloader chamado CSVtyrei, assim nomeado por sua semelhança com Vtyrei.

"Algum código dentro dos exemplos parecia não funcional, indicando esforços de desenvolvimento em andamento", disse a empresa russa.

Vtyrei (também conhecido como BREEZESUGAR) se refere a um payload e downloader de primeira fase usados anteriormente pelo adversário para entregar um framework de malware conhecido como RTY.

A equipe DoNot, também conhecida pelos nomes APT-C-35, Origami Elephant e SECTOR02, é suspeita de ser de origem indiana, com seus ataques utilizando e-mails de spear-phishing e aplicativos Android falsificados para propagar malware.

A avaliação mais recente da Kaspersky baseia-se em uma análise das sequências duplas de ataque do ator de ameaças em abril de 2023 para implantar os frameworks Agent K11 e RTY.

A divulgação também segue a descoberta pelo Zscaler ThreatLabz de uma nova atividade maliciosa realizada pelo ator Transparent Tribe (também conhecido como APT36) do Paquistão, que visa setores do governo indiano usando um arsenal de malware atualizado que inclui um trojan do Windows ainda não documentado chamado ElizaRAT.

"O ElizaRAT é entregue como um binário .NET e estabelece um canal de comunicação C2 via Telegram, permitindo que os atores de ameaças tenham controle total sobre o endpoint alvo", observou o pesquisador de segurança Sudeep Singh no mês passado.

Ativa desde 2013, a Transparent Tribe tem utilizado ataques de colheita de credenciais e distribuição de malware, distribuindo frequentemente instaladores contaminados de aplicativos do governo indiano, como a autenticação multifator Kavach, e instrumentalizando frameworks de comando e controle (C2) de código aberto, como o Mythic.

Em um sinal de que a equipe de hackers também tem seus olhos nos sistemas Linux, a Zscaler disse que identificou um pequeno conjunto de arquivos de entrada de desktop que abrem caminho para a execução de binários ELF baseados em Python, incluindo o GLOBSHELL para exfiltração de arquivos e o PYSHELLFOX para roubar dados de sessão do navegador Mozilla Firefox.

"Sistemas operacionais baseados em Linux são amplamente utilizados no setor governamental indiano", disse Singh, acrescentando que o direcionamento do ambiente Linux também provavelmente foi motivado pela decisão da Índia de substituir o sistema operacional Microsoft Windows OS pelo Maya OS, um sistema operacional baseado em Debian Linux, em todos os setores governamentais e de defesa.

Junto com a Equipe DoNot e a Transparent Tribe está outro ator de estado-nação da região da Ásia-Pacífico, com foco no Paquistão.

Codinome Mysterious Elephant (também conhecido como APT-K-47), o grupo de hackers foi atribuído a uma campanha de spear-phishing que lança um novo backdoor chamado ORPCBackdoor, capaz de executar arquivos e comandos no computador da vítima e receber arquivos ou comandos de um servidor malicioso.

De acordo com a Equipe Knownsec 404, APT-K-47 compartilha ferramentas e alvos em comum com outros atores, como SideWinder, Patchwork, Confucius e Bitter, a maioria dos quais é avaliada como alinhada com a Índia.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...