El actor de amenazas conocido como DoNot Team se ha relacionado con el uso de una novela . La puerta trasera basada en NET llamada Firebird apunta a un puñado de víctimas en Pakistán y Afganistán.
La empresa de ciberseguridad Kaspersky, que reveló los hallazgos en su informe de tendencias APT Q3 2023, dijo que las cadenas de ataque también están configuradas para ofrecer un descargador llamado CSVtyrei, llamado así por su parecido con Vtyrei.
«Parte del código dentro de los ejemplos parecía no funcional, lo que sugiere esfuerzos de desarrollo en curso», dijo la firma rusa.
Vtyrei (también conocido como BREEZESUGAR) se refiere a una carga útil de primera etapa y una cepa de descarga previamente aprovechada por el adversario para entregar un marco de malware conocido como RTY.
Se sospecha que DoNot Team, también conocido por los nombres APT-C-35, Origami Elephant y SECTOR02, es de origen indio y sus ataques emplean correos electrónicos de spear-phishing y aplicaciones de Android maliciosas para propagar malware.
La última evaluación de Kaspersky se basa en un análisis de las secuencias de ataque gemelas del actor de amenazas en abril de 2023 para implementar los marcos Agent K11 y RTY.
La revelación también se produce después de que Zscaler ThreatLabz descubriera una nueva actividad maliciosa llevada a cabo por el actor Transparent Tribe (también conocido como APT36), con sede en Pakistán, dirigido a sectores gubernamentales indios utilizando un arsenal de malware actualizado que comprende un troyano de Windows previamente no documentado denominado ElizaRAT.
«ElizaRAT se entrega como un binario .NET y establece un canal de comunicación C2 a través de Telegram, lo que permite a los actores de amenazas ejercer un control completo sobre el punto final objetivo», señaló el investigador de seguridad Sudeep Singh el mes pasado.
Activo desde 2013, Transparent Tribe ha utilizado la recolección de credenciales y los ataques de distribución de malware, a menudo distribuyendo instaladores troyanizados de aplicaciones gubernamentales indias como la autenticación multifactor Kavach y armando marcos de comando y control (C2) de código abierto como Mythic.
En una señal de que el equipo de hackers también ha puesto sus ojos en los sistemas Linux, Zscaler dijo que identificó un pequeño conjunto de archivos de entrada de escritorio que allanan el camino para la ejecución de binarios ELF basados en Python, incluidos GLOBSHELL para la exfiltración de archivos y PYSHELLFOX para robar datos de sesión del navegador Mozilla Firefox.
«Los sistemas operativos basados en Linux son ampliamente utilizados en el sector gubernamental indio», dijo Singh, añadiendo que el ataque al entorno Linux también está probablemente motivado por la decisión de la India de reemplazar el sistema operativo Microsoft Windows con Maya OS, un sistema operativo basado en Debian Linux, en los sectores gubernamental y de defensa.
A DoNot Team y Transparent Tribe se une otro actor de Estado-nación de la región de Asia-Pacífico con un enfoque en Pakistán.
Con el nombre en clave de Mysterious Elephant (también conocido como APT-K-47), el grupo de piratas informáticos se ha atribuido a una campaña de spear-phishing que lanza una novedosa puerta trasera llamada ORPCBackdoor que es capaz de ejecutar archivos y comandos en la computadora de la víctima, y recibir archivos o comandos de un servidor malicioso.
Según el equipo 404 de Knownsec, APT-K-47 comparte las superposiciones de herramientas y objetivos con las de otros actores como SideWinder, Patchwork, Confucio y Bitter, la mayoría de los cuales se considera que están alineados con la India.
Fuente: https://thehackernews.com
