El actor de amenazas conocido como DoNot Team ha sido vinculado al uso de una novedosa puerta trasera basada en .NET llamada pájaro de fuego apuntando a un puñado de víctimas en Pakistán y Afganistán.
La empresa de ciberseguridad Kaspersky, que reveló los hallazgos en su informe de tendencias APT del tercer trimestre de 2023, dijo que las cadenas de ataque también están configuradas para entregar un descargador llamado CSVtyrei, llamado así por su parecido con Vtyrei.
«Parte del código dentro de los ejemplos parecía no funcional, lo que sugiere esfuerzos de desarrollo en curso», dijo la firma rusa. dicho.
Vtyrei (también conocido como BREEZESUGAR) se refiere a una cepa de descarga y carga útil de primera etapa previamente aprovechada por el adversario para entregar un marco de malware conocido como RTY.
Se sospecha que DoNot Team, también conocido con los nombres APT-C-35, Origami Elephant y SECTOR02, es de origen indio y sus ataques emplean correos electrónicos de phishing y aplicaciones dudosas de Android para propagar malware.
La última evaluación de Kaspersky se basa en una análisis de las secuencias de ataque gemelas del actor de amenazas en abril de 2023 para implementar los marcos Agent K11 y RTY.
La divulgación también sigue al descubrimiento por parte de Zscaler ThreatLabz de una nueva actividad maliciosa llevada a cabo por el actor Transparent Tribe (también conocido como APT36), con sede en Pakistán, dirigida a sectores del gobierno indio utilizando un arsenal de malware actualizado que comprende un troyano de Windows previamente no documentado denominado ElizaRAT.
«ElizaRAT se entrega como un binario .NET y establece un canal de comunicación C2 a través de Telegram, lo que permite a los actores de amenazas ejercer un control total sobre el punto final objetivo», dijo el investigador de seguridad Sudeep Singh. anotado el mes pasado.
Activo desde 2013, Transparent Tribe ha utilizado ataques de recolección de credenciales y distribución de malware, a menudo distribuyendo instaladores troyanizados de aplicaciones del gobierno indio como la autenticación multifactor Kavach y armando marcos de comando y control (C2) de código abierto como Mythic.
En una señal de que el equipo de hackers también ha puesto sus ojos en los sistemas Linux, Zscaler dijo que identificó un pequeño conjunto de archivos de entrada de escritorio que allanan el camino para la ejecución de binarios ELF basados en Python, incluido GLOBSHELL para la exfiltración de archivos y PYSHELLFOX para el robo. datos de sesión del navegador Mozilla Firefox.
«Los sistemas operativos basados en Linux se utilizan ampliamente en el sector gubernamental indio», afirmó Singh, añadiendo que el ataque al entorno Linux probablemente también esté motivado por la decisión de la India de sustituir el sistema operativo Microsoft Windows por sistema operativo mayaun sistema operativo basado en Debian Linux, en los sectores gubernamental y de defensa.
Uniéndose a DoNot Team y Transparent Tribe se encuentra otro actor-estado-nación de la región de Asia y el Pacífico con un enfoque en Pakistán.
nombre en clave Elefante misterioso (también conocido como APT-K-47), el grupo de hackers ha sido atribuido a una campaña de phishing que lanza una novedosa puerta trasera llamada ORPCBackdoor que es capaz de ejecutar archivos y comandos en la computadora de la víctima y recibir archivos o comandos de un servidor malicioso.
De acuerdo con la Equipo Knowsec 404APT-K-47 comparte herramientas y objetivos superpuestos con los de otros actores como SideWinder, Patchwork, Confucius y Bitter, la mayoría de los cuales se considera que están alineados con la India.