DoNot Team'in Yeni Firebird Arka Kapısı Pakistan ve Afganistan'ı Vurdu
DoNot Team olarak bilinen tehdit aktörü, bir romanın kullanımıyla ilişkilendirildi. Pakistan ve Afganistan'da bir avuç kurbanı hedef alan Firebird adlı NET tabanlı arka kapı.
Bulguları Q3 2023 APT trendleri raporunda açıklayan siber güvenlik şirketi Kaspersky, saldırı zincirlerinin ayrıca Vtyrei'ye benzerliği nedeniyle CSVtyrei adlı bir indirici sunacak şekilde yapılandırıldığını söyledi.
Rus firması, "Örneklerdeki bazı kodlar işlevsel görünmüyordu ve devam eden geliştirme çabalarına işaret ediyordu" dedi.
Vtyrei (diğer adıyla BREEZESUGAR), daha önce düşman tarafından RTY olarak bilinen bir kötü amaçlı yazılım çerçevesi sunmak için kullanılan birinci aşama bir yük ve indirici türünü ifade eder.
APT-C-35, Origami Elephant ve SECTOR02 adlarıyla da bilinen DoNot Team'in, kötü amaçlı yazılımları yaymak için hedef odaklı kimlik avı e-postaları ve hileli Android uygulamaları kullanan saldırılarıyla Hint kökenli olduğundan şüpheleniliyor.
Kaspersky'nin en son değerlendirmesi, tehdit aktörünün Nisan 2023'te Agent K11 ve RTY çerçevelerini dağıtmak için gerçekleştirdiği ikiz saldırı dizilerinin analizine dayanıyor.
Açıklama ayrıca, Zscaler ThreatLabz'ın Pakistan merkezli Transparent Tribe (diğer adıyla APT36) aktörü tarafından gerçekleştirilen ve daha önce belgelenmemiş bir Windows truva atı içeren güncellenmiş bir kötü amaçlı yazılım cephaneliği kullanarak Hindistan hükümet sektörlerini hedef alan yeni kötü amaçlı etkinlikleri ortaya çıkarmasını da takip ediyor.
Güvenlik araştırmacısı Sudeep Singh geçen ay yaptığı açıklamada, "ElizaRAT bir .NET ikili dosyası olarak teslim ediliyor ve Telegram aracılığıyla bir C2 iletişim kanalı kurarak tehdit aktörlerinin hedeflenen uç nokta üzerinde tam kontrol sahibi olmasını sağlıyor" dedi.
2013'ten beri aktif olan Transparent Tribe, kimlik bilgisi toplama ve kötü amaçlı yazılım dağıtım saldırılarından yararlanarak, genellikle Kavach çok faktörlü kimlik doğrulama gibi Hindistan hükümeti uygulamalarının truva atlı yükleyicilerini dağıtıyor ve Mythic gibi açık kaynaklı komuta ve kontrol (C2) çerçevelerini silah haline getiriyor.
Bilgisayar korsanlığı ekibinin Linux sistemlerine de göz diktiğinin bir işareti olarak Zscaler, dosya hırsızlığı için GLOBSHELL ve Mozilla Firefox tarayıcısından oturum verilerini çalmak için PYSHELLFOX dahil olmak üzere Python tabanlı ELF ikili dosyalarının yürütülmesinin önünü açan küçük bir dizi masaüstü giriş dosyası belirlediğini söyledi.
Singh, "Linux tabanlı işletim sistemleri Hindistan hükümet sektöründe yaygın olarak kullanılıyor" dedi ve Linux ortamının hedeflenmesinin Hindistan'ın Microsoft Windows işletim sistemini Debian Linux tabanlı bir işletim sistemi olan Maya OS ile değiştirme kararından kaynaklandığını da sözlerine ekledi.
DoNot Ekibi ve Şeffaf Kabile'ye katılmak, Asya-Pasifik bölgesinden Pakistan'a odaklanan bir başka ulus devlet aktörüdür.
Kod adı Mysterious Elephant (diğer adıyla APT-K-47) olan bilgisayar korsanlığı grubu, kurbanın bilgisayarında dosya ve komutları yürütebilen ve kötü amaçlı bir sunucudan dosya veya komut alabilen ORPCBackdoor adlı yeni bir arka kapı bırakan bir hedef odaklı kimlik avı kampanyasına atfedildi.
Knownsec 404 Ekibine göre, APT-K-47, çoğu Hindistan ile uyumlu olduğu değerlendirilen SideWinder, Patchwork, Confucius ve Bitter gibi diğer aktörlerinkiyle örtüşen araç ve hedefleme örtüşmelerini paylaşıyor.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı