威胁情报信息分享|DoNot Team 的新 Firebird 后门袭击巴基斯坦和阿富汗

已知的APT攻击者 DoNot Team 与一种名为 Firebird 的新型 .NET 后门有关，该后门针对巴基斯坦和阿富汗的少数受害者。

在其 2023 年第三季度的 APT 趋势报告中，网络安全公司 Kaspersky 披露了这些发现，表示攻击链还配置了一个名为 CSVtyrei 的下载器，因其与 Vtyrei 相似而得名。

“示例中的一些代码似乎没有功能，这暗示着正在进行的开发努力，”这家俄罗斯公司说。

Vtyrei（又名 BREEZESUGAR）是指先前被敌手利用来交付一个名为 RTY 的恶意软件框架的第一阶段载荷和下载器。

DoNot Team 也被称为 APT-C-35、Origami Elephant 和 SECTOR02，疑似起源于印度，其攻击利用鱼叉式网络钓鱼电子邮件和流氓 Android 应用程序传播恶意软件。

Kaspersky 的最新评估基于 2023 年 4 月威胁行为者的两次攻击序列，以部署 Agent K11 和 RTY 框架。

此次披露还紧随 Zscaler ThreatLabz 揭露巴基斯坦的 Transparent Tribe（也称为 APT36）行为者利用更新的恶意软件武器库针对印度政府部门的新恶意活动，该武器库包括一个之前未记录的名为 ElizaRAT 的 Windows 木马。

“ElizaRAT 以 .NET 二进制文件形式交付，并通过 Telegram 建立一个 C2 通信渠道，使威胁行为者能够对目标端点进行完全控制，”安全研究员 Sudeep Singh 上个月指出。

自 2013 年以来，Transparent Tribe 利用凭证收割和恶意软件分发攻击，经常分发印度政府应用程序如 Kavach 多因素身份验证的特洛伊化安装程序，并利用开源的命令和控制（C2）框架如 Mythic。

作为黑客团队也将目光转向 Linux 系统的迹象，Zscaler 表示它识别到一小组桌面入口文件，为执行基于 Python 的 ELF 二进制文件铺平了道路，包括用于文件外泄的 GLOBSHELL 和从 Mozilla Firefox 浏览器窃取会话数据的 PYSHELLFOX。

“Linux 基于的操作系统在印度政府部门中广泛使用，”Singh 说，并补充说针对 Linux 环境的定位也可能是由于印度决定用 Maya OS（一个基于 Debian Linux 的操作系统）替换政府和国防部门的 Microsoft Windows OS。

与 DoNot Team 和 Transparent Tribe 一起的还有另一个来自亚太地区，重点针对巴基斯坦的国家行为者。

代号为 Mysterious Elephant（也称为 APT-K-47）的黑客组织已被归因于一个鱼叉式网络钓鱼活动，该活动会放下一个名为 ORPCBackdoor 的新型后门，该后门能够在受害者的计算机上执行文件和命令，并从恶意服务器接收文件或命令。

根据 Knownsec 404 Team 的说法，APT-K-47 与 SideWinder、Patchwork、Confucius 和 Bitter 等其他行为者在工具和目标选择上存在重叠，其中大多数被评估与印度保持一致。