Il gruppo di attori minacciosi noto come DoNot Team è stato associato all’uso di una nuova backdoor basata su .NET chiamato “Firebird”, che prende di mira alcune vittime in Pakistan e Afghanistan.
Dettagli sull’attacco
La società di cybersecurity Kaspersky, che ha rivelato le scoperte nel suo rapporto sulle tendenze APT del terzo trimestre 2023, ha dichiarato che le catene di attacco sono anche configurate per distribuire un downloader chiamato CSVtyrei, così chiamato per la sua somiglianza con Vtyrei. “Alcuni codici negli esempi sembravano non funzionali, suggerendo sforzi di sviluppo in corso”, ha affermato la società russa.
Vtyrei, noto anche come BREEZESUGAR, è un payload e downloader di primo stadio precedentemente utilizzato dall’avversario per distribuire un framework malware chiamato RTY.
Il DoNot Team, noto anche come APT-C-35, Origami Elephant e SECTOR02, è sospettato di essere di origine indiana. I suoi attacchi utilizzano email di spear-phishing e app Android dannose per propagare malware.
Ulteriori informazioni sul DoNot Team
La recente valutazione di Kaspersky si basa sull’analisi delle sequenze di attacco gemelle dell’attore minaccioso nell’aprile 2023 per distribuire i framework Agent K11 e RTY.
La divulgazione segue anche la scoperta da parte di Zscaler ThreatLabz di nuove attività dannose condotte dall’attore basato in Pakistan, Transparent Tribe (noto anche come APT36), che prende di mira i settori governativi indiani utilizzando un arsenale di malware aggiornato che comprende un trojan Windows precedentemente non documentato chiamato ElizaRAT.
ElizaRAT viene consegnato come binario .NET e stabilisce un canale di comunicazione C2 tramite Telegram, permettendo agli attori minacciosi di esercitare un controllo completo sul punto finale bersaglio.
Transparent Tribe, attivo dal 2013, ha utilizzato attacchi di distribuzione di malware e raccolta di credenziali, distribuendo spesso installatori trojanizzati di applicazioni governative indiane come l’autenticazione multi-fattore Kavach e utilizzando framework di comando e controllo open-source come Mythic.
Zscaler ha rivelato che il gruppo ha anche iniziato a prendere di mira i sistemi Linux, identificando un piccolo set di file di ingresso desktop che aprono la strada all’esecuzione di binari ELF basati su Python, tra cui GLOBSHELL per l’esfiltrazione di file e PYSHELLFOX per il furto di dati di sessione dal browser Mozilla Firefox.
Mentre gruppi come DoNot Team e Transparent Tribe continuano a evolversi e adattarsi alle esigenze del panorama delle minacce, la comunità di sicurezza deve rimanere vigile e pronta a rispondere a queste nuove sfide.
