Firebird 后门暂定与印度 APT 相关

名为 DoNot Team 的个人组织与名为 Firebird 的基于 .NET 的新后门的部署有关，该后门针对的是巴基斯坦和阿富汗的有限数量的目标。

网络安全研究人员表示，攻击序列还旨在引入名为 CSVtyrei 的下载器，因其与 Vtyrei 相似而得名。所提供代码的某些部分似乎无法运行，表明正在进行的开发工作。

Vtyrei（也称为 BREEZESUGAR）是指威胁行为者之前用来分发称为 RTY 的恶意软件框架的初始有效负载和下载器菌株。

DoNot Team 的别名也为 APT-C-35、Origami Elephant 和 SECTOR02，据信源自印度。他们的攻击涉及使用鱼叉式网络钓鱼电子邮件和流氓 Android 应用程序来传播恶意软件。

研究人员的最新评估扩展了对该威胁行为者在 2023 年 4 月发起的双重攻击活动的检查，他们在其中部署了 Agent K11 和 RTY 框架。

ElizaRAT 用于袭击印度

此次披露是在 Zscaler ThreatLabz 揭露巴基斯坦透明部落（也称为 APT36）进行的新恶意活动之后进行的。该组织一直使用更新的恶意软件库来瞄准印度政府部门，其中包括以前未记录的名为 ElizaRAT 的 Windows 木马。

ElizaRAT 以 .NET 二进制文件形式提供，并通过 Telegram 建立通信通道，使威胁参与者能够完全控制目标端点。

透明部落 (Transparent Tribe) 自 2013 年以来一直活跃，利用凭证收集和恶意软件分发等策略，经常分发被篡改的印度政府应用程序安装程序，例如 Kavach 多因素身份验证。他们还将 Mythic 等开源命令与控制 (C2) 框架武器化。

Zscaler 指出，他们发现了一小组桌面入口文件，这些文件有助于执行基于 Python 的 ELF 二进制文件，这表明该黑客组织已将注意力转向 Linux 系统。其中包括用于窃取文件的 GLOBSHELL 和用于从 Mozilla Firefox 浏览器窃取会话数据的 PYSHELLFOX。