Firebird 后门暂定与印度 APT 相关
名为 DoNot Team 的个人组织与名为 Firebird 的基于 .NET 的新后门的部署有关,该后门针对的是巴基斯坦和阿富汗的有限数量的目标。
网络安全研究人员表示,攻击序列还旨在引入名为 CSVtyrei 的下载器,因其与 Vtyrei 相似而得名。所提供代码的某些部分似乎无法运行,表明正在进行的开发工作。
Vtyrei(也称为 BREEZESUGAR)是指威胁行为者之前用来分发称为 RTY 的恶意软件框架的初始有效负载和下载器菌株。
DoNot Team 的别名也为 APT-C-35、Origami Elephant 和 SECTOR02,据信源自印度。他们的攻击涉及使用鱼叉式网络钓鱼电子邮件和流氓 Android 应用程序来传播恶意软件。
研究人员的最新评估扩展了对该威胁行为者在 2023 年 4 月发起的双重攻击活动的检查,他们在其中部署了 Agent K11 和 RTY 框架。
ElizaRAT 用于袭击印度
此次披露是在 Zscaler ThreatLabz 揭露巴基斯坦透明部落(也称为 APT36)进行的新恶意活动之后进行的。该组织一直使用更新的恶意软件库来瞄准印度政府部门,其中包括以前未记录的名为 ElizaRAT 的 Windows 木马。
ElizaRAT 以 .NET 二进制文件形式提供,并通过 Telegram 建立通信通道,使威胁参与者能够完全控制目标端点。
透明部落 (Transparent Tribe) 自 2013 年以来一直活跃,利用凭证收集和恶意软件分发等策略,经常分发被篡改的印度政府应用程序安装程序,例如 Kavach 多因素身份验证。他们还将 Mythic 等开源命令与控制 (C2) 框架武器化。
Zscaler 指出,他们发现了一小组桌面入口文件,这些文件有助于执行基于 Python 的 ELF 二进制文件,这表明该黑客组织已将注意力转向 Linux 系统。其中包括用于窃取文件的 GLOBSHELL 和用于从 Mozilla Firefox 浏览器窃取会话数据的 PYSHELLFOX。