De bedreigingsacteur die bekend staat als DoNot Team is in verband gebracht met het gebruik van een nieuwe op .NET gebaseerde achterdeur genaamd Vuurvogel gericht op een handvol slachtoffers in Pakistan en Afghanistan.
Cybersecuritybedrijf Kaspersky, dat de bevindingen openbaar maakte in zijn APT-trendrapport Q3 2023, zei dat de aanvalsketens ook zijn geconfigureerd om een downloader te leveren met de naam CSVtyrei, zo genoemd vanwege de gelijkenis met Vtyrei.
“Sommige code in de voorbeelden leek niet-functioneel, wat duidde op voortdurende ontwikkelingsinspanningen”, aldus het Russische bedrijf.
Vtyrei (ook bekend als BREEZESUGAR) verwijst naar een payload- en downloader-soort in de eerste fase die eerder door de tegenstander werd benut om een malwareframework te leveren dat bekend staat als RTY.
Het DoNot Team, ook bekend onder de namen APT-C-35, Origami Elephant en SECTOR02, wordt ervan verdacht van Indiase afkomst te zijn, waarbij de aanvallen gebruik maken van spearphishing-e-mails en frauduleuze Android-apps om malware te verspreiden.
De nieuwste beoordeling van Kaspersky bouwt voort op een analyse van de dubbele aanvalssequenties van de dreigingsactor in april 2023 om de Agent K11- en RTY-frameworks in te zetten.
De onthulling volgt ook op de ontdekking door Zscaler ThreatLabz van nieuwe kwaadaardige activiteiten uitgevoerd door de in Pakistan gevestigde Transparent Tribe (ook bekend als APT36) die zich richt op Indiase overheidssectoren met behulp van een bijgewerkt malwarearsenaal dat bestaat uit een voorheen ongedocumenteerde Windows-trojan genaamd ElizaRAT.
“ElizaRAT wordt geleverd als een binair .NET-bestand en brengt een C2-communicatiekanaal tot stand via Telegram, waardoor bedreigingsactoren volledige controle kunnen uitoefenen over het beoogde eindpunt”, merkte beveiligingsonderzoeker Sudeep Singh vorige maand op.
Transparent Tribe is actief sinds 2013 en maakt gebruik van credential harvesting en malware-distributieaanvallen, waarbij vaak trojan-installatieprogramma’s van Indiase overheidsapplicaties zoals Kavach multi-factor authenticatie worden verspreid en open-source command-and-control (C2)-frameworks zoals Mythic worden bewapend.
Als teken dat de hackploeg ook Linux-systemen in het vizier heeft, zegt Zscaler dat het een kleine set desktop-invoerbestanden heeft geïdentificeerd die de weg vrijmaken voor de uitvoering van op Python gebaseerde ELF-binaire bestanden, waaronder GLOBSHELL voor bestandsexfiltratie en PYSHELLFOX voor het stelen van bestanden. sessiegegevens van de Mozilla Firefox-browser.
“Linux-gebaseerde besturingssystemen worden veel gebruikt in de Indiase overheidssector”, zei Singh. Hij voegde eraan toe dat de targeting op de Linux-omgeving waarschijnlijk ook ingegeven is door het besluit van India om Microsoft Windows OS te vervangen door Maya OS, een op Debian Linux gebaseerd besturingssysteem. in alle overheids- en defensiesectoren.
Een andere natiestatelijke actor uit de regio Azië-Pacific, met een focus op Pakistan, sluit zich aan bij DoNot Team en Transparent Tribe.
Met de codenaam Mysterious Elephant (ook bekend als APT-K-47) wordt de hackgroep toegeschreven aan een spearphishing-campagne waarbij een nieuwe achterdeur genaamd ORPCBackdoor wordt geïntroduceerd die in staat is bestanden en opdrachten uit te voeren op de computer van het slachtoffer en bestanden of opdrachten te ontvangen van een kwaadaardige server.
Volgens het Knownsec 404-team deelt APT-K-47 tooling en targeting-overlappingen met die van andere actoren zoals SideWinder, Patchwork, Confucius en Bitter, waarvan wordt aangenomen dat de meeste ervan in lijn zijn met India.
