Η ομάδα hacking DoNot Team έχει συνδεθεί με τη χρήση ενός πρωτοποριακού backdoor με βάση το .NET, με το όνομα Firebird, που στοχεύει λίγα θύματα στο Πακιστάν και το Αφγανιστάν.
Η εταιρεία κυβερνοασφάλειας Kaspersky, η οποία αποκάλυψε τα ευρήματά της στην έκθεση τάσεων APT για το τρίτο τρίμηνο του 2023, ανέφερε ότι οι αλυσίδες επιθέσεων έχουν διαμορφωθεί έτσι ώστε να παράγουν έναν downloader που ονομάζεται CSVtyrei, που ονομάζεται έτσι εξαιτίας της ομοιότητας του με το Vtyrei.
Δείτε επίσης: Τον Σεπτέμβριο σημειώθηκε αύξηση 153% των επιθέσεων ransomware
Η ρωσική εταιρεία ανέφερε ότι “Ορισμένος κώδικας στα παραδείγματα φαίνεται να μην λειτουργεί σωστά, υποδηλώνοντας συνεχιζόμενες προσπάθειες ανάπτυξης”.
Το Vtyrei (γνωστό και ως BREEZESUGAR) αναφέρεται σε ένα first-stage payload και downloader strain που παρελθοντικά χρησιμοποιήθηκε από τον εισβολέα για να παραδώσει ένα malware framework γνωστό ως RTY.
Η DoNot Team, επίσης γνωστή με τα ονόματα APT-C-35, Origami Elephant και SECTOR02, υποψιάζεται ότι είναι ινδικής καταγωγής, με τις επιθέσεις του να χρησιμοποιούν spear-phishing emails και κακόβουλες εφαρμογές Android για την εξάπλωση malware.
Η πιο πρόσφατη αξιολόγηση από την Kaspersky βασίζεται σε μια ανάλυση των διπλών ακολουθιών επιθέσεων του θεωρηθέντος απειλητικού παράγοντα τον Απρίλιο του 2023, με σκοπό να εγκαταστήσει τα framework Agent K11 και RTY.
Η αποκάλυψη ακολουθεί επίσης τον εντοπισμό νέας κακόβουλης δραστηριότητας που πραγματοποιείται από την ομάδα Transparent Tribe (επίσης γνωστή ως APT36) με έδρα το Πακιστάν, στοχεύοντας τους τομείς της ινδικής κυβέρνησης χρησιμοποιώντας ένα updated malware arsenal που περιλαμβάνει ένα προηγουμένως undocumented Windows trojan με το όνομα ElizaRAT.
Η Transparent Tribe που είναι δραστήρια από το 2013, χρησιμοποίησε επιθέσεις συλλογής credential και διανομής κακόβουλου λογισμικού, συχνά διανέμοντας τροποποιημένους εγκαταστάτες εφαρμογών της κυβέρνησης της Ινδίας, όπως το Kavach πολυπαραγοντικής πιστοποίησης και εκμεταλλευόμενη open-source command-and-control (C2) frameworks όπως το Mythic.
Σε μια ένδειξη ότι η ομάδα hacking έχει στρέψει την προσοχή της σε συστήματα Linux, η Zscaler ανέφερε ότι εντόπισε ένα μικρό σύνολο αρχείων desktop entry που ανοίγουν το δρόμο για την εκτέλεση των Python-based ELF binaries, συμπεριλαμβανομένων του GLOBSHELL για το file exfiltration και του PYSHELLFOX για την κλοπή session data από τον περιηγητή Mozilla Firefox.
Δείτε επίσης: Η ομάδα μπάσκετ ASVEL επιβεβαιώνει παραβίαση δεδομένων λόγω ransomware
Με κωδική ονομασία “Mysterious Elephant” (επίσης γνωστό ως APT-K-47), ο χάκερ ομάδα αποδίδεται σε μια επίθεση spear-phishing που εκτελεί ένα νέο backdoor με την ονομασία “ORPCBackdoor”. Αυτό το backdoor είναι ικανό να εκτελεί αρχεία και εντολές στον υπολογιστή του θύματος, καθώς και να λαμβάνει αρχεία ή εντολές από ένα κακόβουλο διακομιστή.
Σύμφωνα με την ομάδα Knownsec 404, ο APT-K-47 μοιράζεται εργαλεία και στόχους με άλλους δράστες, όπως ο SideWinder, ο Patchwork, ο Confucius και ο Bitter, οι περισσότεροι από τους οποίους θεωρούνται ότι συνδέονται με την Ινδία.
Πηγή πληροφοριών: thehackernews.com
