Firebird Backdoor
Le groupe de menaces identifié comme DoNot Team a été associé au déploiement d'une porte dérobée innovante basée sur .NET connue sous le nom de Firebird. Cette porte dérobée a été utilisée pour cibler un petit nombre de victimes situées au Pakistan et en Afghanistan.
Les chercheurs en cybersécurité ont identifié que ces attaques visent à déployer un téléchargeur appelé CSVtyrei, un nom dérivé de ses similitudes avec Vtyrei. Vtyrei, également connu sous le nom de BREEZESUGAR, désigne une charge utile initiale et une variante de téléchargement précédemment utilisée par l'adversaire pour distribuer un framework malveillant appelé RTY.
Table des matières
DoNot Team est un acteur actif de la menace de cybercriminalité
DoNot Team, également connu sous les noms d'APT-C-35, Origami Elephant et SECTOR02, est un groupe de menaces persistantes avancées (APT) soupçonné d'avoir des affiliations avec le gouvernement indien. Ce groupe est actif depuis au moins 2016, et il est possible que sa formation soit antérieure à cette période.
L'objectif premier de DoNot Team semble être l'espionnage au service des intérêts du gouvernement indien. Les chercheurs en cybersécurité ont observé plusieurs campagnes menées par ce groupe dans ce but précis.
Alors que la première attaque connue de DoNot Team visait une entreprise de télécommunications en Norvège, elle se concentre principalement sur l'espionnage en Asie du Sud. Leur principal domaine d’intérêt est la région du Cachemire, compte tenu du conflit en cours au Cachemire. Ce différend persiste depuis longtemps, l’Inde et le Pakistan revendiquant la souveraineté sur l’ensemble de la région, même s’ils n’en contrôlent chacun qu’une partie. Les efforts diplomatiques visant à parvenir à une solution durable à cette question se sont jusqu’à présent révélés infructueux.
DoNot Team cible principalement les entités associées aux gouvernements, aux ministères des Affaires étrangères, aux organisations militaires et aux ambassades dans ses opérations.
Firebird Backdoor est un nouvel outil de menace déployé par l’équipe DoNot
Un examen approfondi a révélé la présence d'une nouvelle porte dérobée basée sur .NET appelée Firebird. Cette porte dérobée se compose d’un chargeur principal et d’un minimum de trois plugins. Notamment, tous les échantillons analysés présentaient une forte protection via ConfuserEx, conduisant à un taux de détection extrêmement faible. De plus, certaines sections du code dans les échantillons semblaient non opérationnelles, suggérant des activités de développement en cours.
La région de l’Asie du Sud est un foyer d’activités de cybercriminalité
Des activités malveillantes ont été observées impliquant la Transparent Tribe, basée au Pakistan, également connue sous le nom d'APT36, ciblant des secteurs au sein du gouvernement indien. Ils ont utilisé un arsenal de logiciels malveillants mis à jour, qui comprend un cheval de Troie Windows jusqu'alors non documenté nommé ElizaRAT.
Transparent Tribe, opérationnel depuis 2013, s'est engagé dans des attaques de collecte d'informations d'identification et de distribution de logiciels malveillants. Ils distribuent souvent des installateurs de chevaux de Troie d'applications gouvernementales indiennes comme l'authentification multifacteur Kavach. De plus, ils ont exploité des frameworks de commande et de contrôle (C2) open source, tels que Mythic.
Notamment, Transparent Tribe a étendu son attention aux systèmes Linux. Les chercheurs ont identifié un nombre limité de fichiers d'entrée de bureau qui facilitent l'exécution de binaires ELF basés sur Python, notamment GLOBSHELL pour l'exfiltration de fichiers et PYSHELLFOX pour l'extraction des données de session du navigateur Mozilla Firefox. Les systèmes d'exploitation basés sur Linux sont répandus dans le secteur gouvernemental indien.
Outre DoNot Team et Transparent Tribe, un autre acteur étatique de la région Asie-Pacifique a émergé avec un intérêt particulier pour le Pakistan. Cet acteur, connu sous le nom de Mysterious Elephant ou APT-K-47, a été associé à une campagne de spear phishing. Cette campagne déploie une nouvelle porte dérobée appelée ORPCBackdoor, capable d'exécuter des fichiers et des commandes sur l'ordinateur de la victime et de communiquer avec un serveur malveillant pour envoyer ou recevoir des fichiers et des commandes.
