L’acteur malveillant connu sous le nom de DoNot Team a été associé à l’utilisation d’une nouvelle porte dérobée basée sur .NET appelée Oiseau de feu ciblant une poignée de victimes au Pakistan et en Afghanistan.
La société de cybersécurité Kaspersky, qui a divulgué les résultats dans son rapport sur les tendances APT du troisième trimestre 2023, a déclaré que les chaînes d’attaque sont également configurées pour fournir un téléchargeur nommé CSVtyrei, ainsi nommé pour sa ressemblance avec Vtyrei.
« Certains codes dans les exemples semblaient non fonctionnels, ce qui laisse penser aux efforts de développement en cours », a déclaré la société russe. dit.
Vtyrei (alias BREEZESUGAR) fait référence à une charge utile de première étape et à une souche de téléchargement précédemment exploitée par l’adversaire pour fournir une structure de malware connue sous le nom de RTY.
DoNot Team, également connu sous les noms d’APT-C-35, Origami Elephant et SECTOR02, est soupçonné d’être d’origine indienne, ses attaques utilisant des e-mails de spear phishing et des applications Android malveillantes pour propager des logiciels malveillants.
La dernière évaluation de Kaspersky s’appuie sur une analyse des deux séquences d’attaques de l’acteur menaçant en avril 2023 pour déployer les frameworks Agent K11 et RTY.
Cette divulgation fait également suite à la découverte par Zscaler ThreatLabz d’une nouvelle activité malveillante menée par l’acteur Transparent Tribe (alias APT36) basé au Pakistan, ciblant les secteurs du gouvernement indien à l’aide d’un arsenal de logiciels malveillants mis à jour qui comprend un cheval de Troie Windows jusqu’alors non documenté baptisé ElizaRAT.
« ElizaRAT est livré sous forme de binaire .NET et établit un canal de communication C2 via Telegram, permettant aux acteurs malveillants d’exercer un contrôle total sur le point final ciblé », a déclaré le chercheur en sécurité Sudeep Singh. noté le mois dernier.
Actif depuis 2013, Transparent Tribe a utilisé des attaques de collecte d’informations d’identification et de distribution de logiciels malveillants, distribuant souvent des chevaux de Troie d’installation d’applications gouvernementales indiennes telles que l’authentification multifacteur Kavach et militarisant des cadres de commande et de contrôle (C2) open source tels que Mythic.
Signe que l’équipe de piratage a également jeté son dévolu sur les systèmes Linux, Zscaler a déclaré avoir identifié un petit ensemble de fichiers d’entrée de bureau qui ouvrent la voie à l’exécution de binaires ELF basés sur Python, notamment GLOBSHELL pour l’exfiltration de fichiers et PYSHELLFOX pour le vol. données de session du navigateur Mozilla Firefox.
« Les systèmes d’exploitation basés sur Linux sont largement utilisés dans le secteur gouvernemental indien », a déclaré Singh, ajoutant que le ciblage de l’environnement Linux est également probablement motivé par la décision de l’Inde de remplacer le système d’exploitation Microsoft Windows par Système d’exploitation Mayaun système d’exploitation basé sur Debian Linux, dans les secteurs du gouvernement et de la défense.
Rejoindre DoNot Team et Transparent Tribe est un autre acteur étatique-nation de la région Asie-Pacifique qui se concentre sur le Pakistan.
Nom de code Éléphant mystérieux (alias APT-K-47), le groupe de piratage a été attribué à une campagne de spear phishing qui lance une nouvelle porte dérobée appelée ORPCBackdoor, capable d’exécuter des fichiers et des commandes sur l’ordinateur de la victime et de recevoir des fichiers ou des commandes d’un serveur malveillant.
Selon le Équipe Knownsec 404APT-K-47 partage des outils et des chevauchements de ciblage avec ceux d’autres acteurs tels que SideWinder, Patchwork, Confucius et Bitter, dont la plupart sont considérés comme alignés sur l’Inde.