ساخت backdoor با نام FireBird توسط تیم هکری DoNot

تیم هکری DoNot از یک backdoor جدید مبتنی بر دات‌نت به نام Firebird، در حملات خود استفاده کرده است. تیمDoNot  که با نام‌های APT-C-35، Origami Elephant و SECTOR02 نیز شناخته می‌شود، احتمالاً دارای منشأ هندی است و حملاتش را از مسیر ایمیل‌های فیشینگ و برنامه‌های اندرویدی، جهت انتشار بدافزارها ترتیب می‌دهد. به نظر می‌رسد که این حمله به نوعی پاسخی به حمله ماه قبل تیم‌های هکری پاکستانی با نرم‌افزارهای آلوده شده به تروجان ویندوزی ElizaRAT می‌باشد. با این وجود تیم هکری DoNot سابقه حمله به یک شرکت مخابراتی در نروژ، فعالیت در جنوب آسیا و منطقه کشمیر و حمله به دولت‌ها، وزارت‌های امور خارجه، سازمان‌های نظامی و سفارت‌خانه‌ها را در کارنامه خود دارد.
شرکت امنیت سایبری کسپرسکی که یافته‌هایش را در گزارش روندهای APT خود در سه ماهه سوم 2023 منتشر کرده است، اعلام کرده که زنجیره‌های حمله جهت ارائه یک نرم‌افزار دانلودکننده به نام CSVtyrei پیکربندی شده‌اند که به دلیل شباهت، نام Vtyrei بر آن گذاشته شده است. این شرکت روسی گفت: «وجود کدهای غیرکاربردی در نمونه‌های مورد بررسی حاکی از تلاش‌های توسعه مداوم در این ابزار می‌باشد.» ابزار Vtyrei (با نام مستعار BREEZESUGAR) به یک دنباله و نرم‌افزار اشاره دارد که قبلاً جهت ارائه یک چارچوب بدافزار معروف به RTY مورد استفاده قرار گرفته است. متخصصان امنیتی در بررسی این حملات توسط ابزار ConfuserEx، یک backdoor جدید مبتنی بر دات نت به نام Firebird را کشف نموده‌اند. این backdoor از یک لودر اصلی و حداقل سه پلاگین تشکیل شده است. گفتنی است تمام نمونه‌های آنالیز شده از طریق ConfuserEx، سطح محافظت شده قوی را نشان دادند که منجر به نرخ تشخیص بسیار پایین این backdoor می‌شود. 
این افشاگری به دنبال کشف فعالیت مخرب جدیدی توسط Zscaler ThreatLabz صورت گرفته که توسط تیم هکری پاکستانی Transparent Tribe (معروف به APT36)  انجام شده است. این گروه بخش‌های دولتی هند را با استفاده از مجموعه‌ای از بدافزارهای به‌روز شده، شامل تروجان ویندوزی ElizaRAT که قبلاً مستند نشده است، هدف قرار داده‌اند. سودیپ سینگ، یک محقق امنیتی هندی، ماه گذشته خاطرنشان کرد: «ElizaRAT به‌عنوان یک کد باینری .Net ارائه می‌شود و یک کانال ارتباطی C2 را از طریق تلگرام ایجاد می‌کند که به مهاجم امکان کنترل کامل سیستم قربانی را خواد داد».

محصولات تحت تأثیر
اگرچه در حال حاضر تمرکز حملات انجام شده بر بهره‌بردرای و حمله به ساختارهای ویندوزی بنا نهاده شده است، اما نشانه‌ها حاکی از آن است که گروه هکری DotNet، نیم نگاهی به حمله به سیستم‌های لینوکسی نیز دارد. به عنوان نمونه شرکت Zscaler اعلام کرده‌است که مجموعه کوچکی از فایل‌های ورودی دسکتاپ را شناسایی کرده است که راه را برای اجرای کدهای باینری‌ ELF مبتنی بر پایتون، از جمله GLOBSHELL برای استخراج فایل و PYSHELLFOX برای سرقت داده‌های نشست‌ها از مرورگر فایرفاکس را هموار می‌کند.

توصیه‌های امنیتی
اگرچه حملات اخیر به نوعی نشأت گرفته از روابط سیاسی متشنج دو کشور پاکستان و هند می‌باشد، اما به دلیل وفور کاربرد .Net و ویندوز در کشور و همچنین سرمایه‌گذاری هندی‌ها در بندر چابهار، امکان نفوذ و هدف قرار دادن آن در ایران نیز دور از انتظار نیست. اسکن دقیق نرم‌افزارها و ایمیل‌های با منشاء هند و پاکستان، به‌ویژه نرم‌افزارهای ویندوزی، و به‌روز نگاه داشتن سیاست‌های امنیتی شبکه، مهم‌ترین توصیه‌های امنیتی در کشف و مقابله با حملات اخیر می‌باشد.

منابع خبر:

[1] https://thehackernews.com/2023/10/donot-teams-new-firebird-backdoor-hits.html
[2] https://www.scmagazine.com/brief/afghanistan-pakistan-subjected-to-donot-team-attacks-with-new-back…
[3] https://www.enigmasoftware.com/firebirdbackdoor-removal/