服务器之家:专注于服务器技术及软件下载分享
分类导航

云服务器|WEB服务器|FTP服务器|邮件服务器|虚拟主机|服务器安全|DNS服务器|服务器知识|Nginx|IIS|Tomcat|

服务器之家 - 服务器技术 - 服务器安全 - 巴基斯坦和阿富汗被 DoNot Team 黑客组织“盯上了”!

巴基斯坦和阿富汗被 DoNot Team 黑客组织“盯上了”!

2023-10-25 04:01未知服务器之家 服务器安全

The Hacker News 网站消息,网络安全公司卡巴斯基在其 2023 年第三季度 APT 趋势报告中透露,一个名为 DoNot Team 的黑客组织与使用名为 Firebird 的新型基于 .NET 的后门,针对巴基斯坦和阿富汗发起了网络攻击。 据悉,DoNot Team 也被称为

The Hacker News 网站消息,网络安全公司卡巴斯基在其 2023 年第三季度 APT 趋势报告中透露,一个名为 DoNot Team 的黑客组织与使用名为 Firebird 的新型基于 .NET 的后门,针对巴基斯坦和阿富汗发起了网络攻击。

巴基斯坦和阿富汗被 DoNot Team 黑客组织“盯上了”!

据悉,DoNot Team 也被称为 APT-C-35、Origami Elephant 和 SECTOR02,疑似源自印度,其攻击方式主要是通过鱼叉式网络钓鱼电子邮件和流氓 Android 应用程序,传播恶意软件。

经过对 DoNot Team 黑客组织在 4 月份部署的 Agent K11 和 RTY 框架双重攻击序列的研究分析,卡巴斯基表示攻击链被配置成了提供一个名为 CSVtyrei 的下载程序,该下载程序因与 Vtyeri 相似而得名(Vtyrei又名 BREEZESUGAR,此前曾被攻击者用来部署一种名为 RTY 的恶意软件框架)。

印巴之间频繁发生网络攻击

值得一提的是,Zscaler ThreatLabz 同样发现总部位于巴基斯坦的 Transparent Tribe(又名 APT36)利用新型恶意软件库针对印度政府部门开展恶意活动,其中包括一个名为 ElizaRAT 的 Windows 木马程序(该木马第一次出现)。安全研究人员 Sudeep Singh 上个月表示 ElizaRAT 以.NET 二进制文件的形式发布,并通过 Telegram 建立C2 通信渠道,使威胁攻击者能够完全控制目标端点。

Transparent Tribe 自 2013 年以来一直活跃在印度,主要利用凭据收集和恶意软件分发攻击,经常分发 Kavach 多因素身份验证等印度政府应用程序的木马安装程序,并将 Mythic 等开源命令与控制(C2)框架武器化。

Zscaler 表示其发现了一小部分桌面入口文件,这些文件为执行基于 Python 的 ELF 二进制文件“铺平”了道路,其中包括用于文件外渗的 GLOBSHELL 和用于从 Mozilla Firefox 浏览器中窃取会话数据的PYSHELLFOX,这样的情况说明网络攻击者可能也已经将攻击目标转向了 Linux。

Singh 指出印度政府部门正准备大规模使用基于 Linux 的操作系统,因此,网路攻击者将 Linux 环境作为攻击目标,很可能也是因为印度决定在政府和国防部门使用基于 Debian Linux 的操作系统 Maya OS 取代微软 Windows 操作系统。

除了上述提到的 DoNot Team 和 Transparent Tribe,安全研究人员还发现了另外一个代号为 "神秘大象"(又名 APT-K-47)黑客组织,它在鱼叉式网络钓鱼活动投放了一个名为 ORPCBackdoor 的新型后门,能够在受害者的计算机上执行文件和命令,并从恶意服务器接收文件或命令。

从 Knownsec 404 小组的研究结果来看,APT-K-47 与 SideWinder、Patchwork、Confucius 和 Bitter 等其他黑客组织使用的工具以及攻击目标高度重叠,其中大多数应该都属于印度“阵营”。

文章来源:https://thehackernews.com/2023/10/donot-teams-new-firebird-backdoor-hits.html

延伸 · 阅读

精彩推荐