DoNot Team 的新 Firebird 后门袭击巴基斯坦和阿富汗

名为DoNot Team 的威胁参与者与使用名为Firebird的新型基于 .NET 的后门有关，该后门针对的是巴基斯坦和阿富汗的少数受害者。

网络安全公司卡巴斯基在其 2023 年第三季度 APT 趋势报告中披露了这一发现，该公司表示，攻击链还被配置为提供名为 CSVtyrei 的下载器，因其与 Vtyrei 相似而得名。

“示例中的一些代码似乎不起作用，暗示正在进行的开发工作，”这家俄罗斯公司表示。

Vtyrei（又名 BREEZESUGAR）指的是第一阶段有效负载和下载器菌株，之前被对手用来提供称为RTY的恶意软件框架。

DoNot Team 也被称为 APT-C-35、Origami Elephant 和 SECTOR02，疑似源自印度，其攻击利用鱼叉式网络钓鱼电子邮件和流氓 Android 应用程序来传播恶意软件。

卡巴斯基的最新评估基于对威胁行为者 2023 年 4 月部署 Agent K11 和 RTY 框架的双重攻击序列的分析。

此前，Zscaler ThreatLabz 还发现巴基斯坦透明部落（又名 APT36）攻击者使用更新的恶意软件库针对印度政府部门开展了新的恶意活动，其中包括以前未记录的名为 ElizaRAT 的 Windows 木马。

安全研究员 Sudeep Singh上个月指出：“ElizaRAT 以 .NET 二进制文件形式提供，并通过 Telegram 建立 C2 通信通道，使威胁行为者能够完全控制目标端点。”

透明部落自 2013 年以来一直活跃，利用凭证收集和恶意软件分发攻击，经常分发 Kavach 多因素身份验证等印度政府应用程序的木马安装程序，并将开源命令与控制 (C2) 框架（例如 Mythic）武器化。

Zscaler 表示，它发现了一小部分桌面入口文件，这些文件为执行基于 Python 的 ELF 二进制文件铺平了道路，其中包括用于文件渗漏的 GLOBSHELL 和用于窃取的 PYSHELLFOX，这表明黑客团队也将目光投向了 Linux 系统。来自 Mozilla Firefox 浏览器的会话数据。

辛格表示：“印度政府部门广泛使用基于 Linux 的操作系统。”他补充说，印度决定用基于 Debian Linux 的操作系统Maya OS取代 Microsoft Windows 操作系统也可能是印度政府针对 Linux 环境的目标。跨政府和国防部门。

加入 DoNot Team 和透明部落的是来自亚太地区的另一个民族国家参与者，重点关注巴基斯坦。

该黑客组织代号为神秘大象（又名 APT-K-47），其发起的鱼叉式网络钓鱼活动会释放一个名为 ORPCBackdoor 的新型后门，该后门能够在受害者的计算机上执行文件和命令，并从受害人的计算机接收文件或命令。恶意服务器。

根据知道创宇 404 团队的说法，APT-K-47 与SideWinder、Patchwork、Confucius和Bitter等其他参与者的工具和目标有重叠，其中大多数被评估为与印度保持一致。

原文来自: thehackernews.com