已知的APT攻击者 DoNot Team 与一种名为 Firebird 的新型 .NET 后门有关,该后门针对巴基斯坦和阿富汗的少数受害者。
在其 2023 年第三季度的 APT 趋势报告中,网络安全公司 Kaspersky 披露了这些发现,表示攻击链还配置了一个名为 CSVtyrei 的下载器,因其与 Vtyrei 相似而得名。
“示例中的一些代码似乎没有功能,这暗示着正在进行的开发努力,”这家俄罗斯公司说。
Vtyrei(又名 BREEZESUGAR)是指先前被敌手利用来交付一个名为 RTY 的恶意软件框架的第一阶段载荷和下载器。
DoNot Team 也被称为 APT-C-35、Origami Elephant 和 SECTOR02,疑似起源于印度,其攻击利用鱼叉式网络钓鱼电子邮件和流氓 Android 应用程序传播恶意软件。
Kaspersky 的最新评估基于 2023 年 4 月威胁行为者的两次攻击序列,以部署 Agent K11 和 RTY 框架。
此次披露还紧随 Zscaler ThreatLabz 揭露巴基斯坦的 Transparent Tribe(也称为 APT36)行为者利用更新的恶意软件武器库针对印度政府部门的新恶意活动,该武器库包括一个之前未记录的名为 ElizaRAT 的 Windows 木马。
“ElizaRAT 以 .NET 二进制文件形式交付,并通过 Telegram 建立一个 C2 通信渠道,使威胁行为者能够对目标端点进行完全控制,”安全研究员 Sudeep Singh 上个月指出。
自 2013 年以来,Transparent Tribe 利用凭证收割和恶意软件分发攻击,经常分发印度政府应用程序如 Kavach 多因素身份验证的特洛伊化安装程序,并利用开源的命令和控制(C2)框架如 Mythic。
作为黑客团队也将目光转向 Linux 系统的迹象,Zscaler 表示它识别到一小组桌面入口文件,为执行基于 Python 的 ELF 二进制文件铺平了道路,包括用于文件外泄的 GLOBSHELL 和从 Mozilla Firefox 浏览器窃取会话数据的 PYSHELLFOX。
“Linux 基于的操作系统在印度政府部门中广泛使用,”Singh 说,并补充说针对 Linux 环境的定位也可能是由于印度决定用 Maya OS(一个基于 Debian Linux 的操作系统)替换政府和国防部门的 Microsoft Windows OS。
与 DoNot Team 和 Transparent Tribe 一起的还有另一个来自亚太地区,重点针对巴基斯坦的国家行为者。
代号为 Mysterious Elephant(也称为 APT-K-47)的黑客组织已被归因于一个鱼叉式网络钓鱼活动,该活动会放下一个名为 ORPCBackdoor 的新型后门,该后门能够在受害者的计算机上执行文件和命令,并从恶意服务器接收文件或命令。
根据 Knownsec 404 Team 的说法,APT-K-47 与 SideWinder、Patchwork、Confucius 和 Bitter 等其他行为者在工具和目标选择上存在重叠,其中大多数被评估与印度保持一致。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...