The Hacker News 网站消息,网络安全公司卡巴斯基在其 2023 年第三季度 APT 趋势报告中透露,一个名为 DoNot Team 的黑客组织与使用名为 Firebird 的新型基于 .NET 的后门,针对巴基斯坦和阿富汗发起了网络攻击。
据悉,DoNot Team 也被称为 APT-C-35、Origami Elephant 和 SECTOR02,疑似源自印度,其攻击方式主要是通过鱼叉式网络钓鱼电子邮件和流氓 Android 应用程序,传播恶意软件。
经过对 DoNot Team 黑客组织在 4 月份部署的 Agent K11 和 RTY 框架双重攻击序列的研究分析,卡巴斯基表示攻击链被配置成了提供一个名为 CSVtyrei 的下载程序,该下载程序因与 Vtyeri 相似而得名(Vtyrei又名 BREEZESUGAR,此前曾被攻击者用来部署一种名为 RTY 的恶意软件框架)。
印巴之间频繁发生网络攻击
值得一提的是,Zscaler ThreatLabz 同样发现总部位于巴基斯坦的 Transparent Tribe(又名 APT36)利用新型恶意软件库针对印度政府部门开展恶意活动,其中包括一个名为 ElizaRAT 的 Windows 木马程序(该木马第一次出现)。安全研究人员 Sudeep Singh 上个月表示 ElizaRAT 以.NET 二进制文件的形式发布,并通过 Telegram 建立C2 通信渠道,使威胁攻击者能够完全控制目标端点。
Transparent Tribe 自 2013 年以来一直活跃在印度,主要利用凭据收集和恶意软件分发攻击,经常分发 Kavach 多因素身份验证等印度政府应用程序的木马安装程序,并将 Mythic 等开源命令与控制(C2)框架武器化。
Zscaler 表示其发现了一小部分桌面入口文件,这些文件为执行基于 Python 的 ELF 二进制文件“铺平”了道路,其中包括用于文件外渗的 GLOBSHELL 和用于从 Mozilla Firefox 浏览器中窃取会话数据的PYSHELLFOX,这样的情况说明网络攻击者可能也已经将攻击目标转向了 Linux。
Singh 指出印度政府部门正准备大规模使用基于 Linux 的操作系统,因此,网路攻击者将 Linux 环境作为攻击目标,很可能也是因为印度决定在政府和国防部门使用基于 Debian Linux 的操作系统 Maya OS 取代微软 Windows 操作系统。
除了上述提到的 DoNot Team 和 Transparent Tribe,安全研究人员还发现了另外一个代号为 "神秘大象"(又名 APT-K-47)黑客组织,它在鱼叉式网络钓鱼活动投放了一个名为 ORPCBackdoor 的新型后门,能够在受害者的计算机上执行文件和命令,并从恶意服务器接收文件或命令。
从 Knownsec 404 小组的研究结果来看,APT-K-47 与 SideWinder、Patchwork、Confucius 和 Bitter 等其他黑客组织使用的工具以及攻击目标高度重叠,其中大多数应该都属于印度“阵营”。
文章来源:https://thehackernews.com/2023/10/donot-teams-new-firebird-backdoor-hits.html