Firebird 後門暫定與印度 APT 相關

名為 DoNot Team 的個人組織與名為 Firebird 的基於 .NET 的新後門的部署有關，該後門針對的是巴基斯坦和阿富汗的有限數量的目標。

網路安全研究人員表示，攻擊序列還旨在引入名為 CSVtyrei 的下載器，因其與 Vtyrei 相似而得名。所提供程式碼的某些部分似乎無法運行，表明正在進行的開發工作。

Vtyrei（也稱為 BREEZESUGAR）是指威脅行為者先前用來分發稱為 RTY 的惡意軟體框架的初始有效負載和下載器菌株。

DoNot Team 的別名也為 APT-C-35、Origami Elephant 和 SECTOR02，據信源自印度。他們的攻擊涉及使用魚叉式網路釣魚電子郵件和流氓 Android 應用程式來傳播惡意軟體。

研究人員的最新評估擴展了對該威脅行為者在 2023 年 4 月發起的雙重攻擊活動的檢查，他們在其中部署了 Agent K11 和 RTY 框架。

ElizaRAT 用於攻擊印度

這項披露是在 Zscaler ThreatLabz 揭露巴基斯坦透明部落（也稱為 APT36）進行的新惡意活動之後進行的。該組織一直使用更新的惡意軟體庫來瞄準印度政府部門，其中包括以前未記錄的名為 ElizaRAT 的 Windows 木馬。

ElizaRAT 以 .NET 二進位檔案形式提供，並透過 Telegram 建立通訊通道，使威脅參與者能夠完全控制目標端點。

透明部落 (Transparent Tribe) 自 2013 年以來一直活躍，利用憑證收集和惡意軟體分發等策略，經常分發被篡改的印度政府應用程式安裝程序，例如 Kavach 多因素身份驗證。他們也將 Mythic 等開源命令與控制 (C2) 框架武器化。

Zscaler 指出，他們發現了一小組桌面入口文件，這些文件有助於執行基於 Python 的 ELF 二進位文件，這表明該駭客組織已將注意力轉向 Linux 系統。其中包括用於竊取檔案的 GLOBSHELL 和用於從 Mozilla Firefox 瀏覽器竊取會話資料的 PYSHELLFOX。