Firebird 後門暫定與印度 APT 相關
名為 DoNot Team 的個人組織與名為 Firebird 的基於 .NET 的新後門的部署有關,該後門針對的是巴基斯坦和阿富汗的有限數量的目標。
網路安全研究人員表示,攻擊序列還旨在引入名為 CSVtyrei 的下載器,因其與 Vtyrei 相似而得名。所提供程式碼的某些部分似乎無法運行,表明正在進行的開發工作。
Vtyrei(也稱為 BREEZESUGAR)是指威脅行為者先前用來分發稱為 RTY 的惡意軟體框架的初始有效負載和下載器菌株。
DoNot Team 的別名也為 APT-C-35、Origami Elephant 和 SECTOR02,據信源自印度。他們的攻擊涉及使用魚叉式網路釣魚電子郵件和流氓 Android 應用程式來傳播惡意軟體。
研究人員的最新評估擴展了對該威脅行為者在 2023 年 4 月發起的雙重攻擊活動的檢查,他們在其中部署了 Agent K11 和 RTY 框架。
ElizaRAT 用於攻擊印度
這項披露是在 Zscaler ThreatLabz 揭露巴基斯坦透明部落(也稱為 APT36)進行的新惡意活動之後進行的。該組織一直使用更新的惡意軟體庫來瞄準印度政府部門,其中包括以前未記錄的名為 ElizaRAT 的 Windows 木馬。
ElizaRAT 以 .NET 二進位檔案形式提供,並透過 Telegram 建立通訊通道,使威脅參與者能夠完全控制目標端點。
透明部落 (Transparent Tribe) 自 2013 年以來一直活躍,利用憑證收集和惡意軟體分發等策略,經常分發被篡改的印度政府應用程式安裝程序,例如 Kavach 多因素身份驗證。他們也將 Mythic 等開源命令與控制 (C2) 框架武器化。
Zscaler 指出,他們發現了一小組桌面入口文件,這些文件有助於執行基於 Python 的 ELF 二進位文件,這表明該駭客組織已將注意力轉向 Linux 系統。其中包括用於竊取檔案的 GLOBSHELL 和用於從 Mozilla Firefox 瀏覽器竊取會話資料的 PYSHELLFOX。