The Hacker News 網(wǎng)站消息，網(wǎng)絡(luò)安全公司卡巴斯基在其 2023 年第三季度 APT 趨勢(shì)報(bào)告中透露，一個(gè)名為 DoNot Team 的黑客組織與使用名為 Firebird 的新型基于 .NET 的后門(mén)，針對(duì)巴基斯坦和阿富汗發(fā)起了網(wǎng)絡(luò)攻擊。

據(jù)悉，DoNot Team 也被稱為 APT-C-35、Origami Elephant 和 SECTOR02，疑似源自印度，其攻擊方式主要是通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件和流氓 Android 應(yīng)用程序，傳播惡意軟件。

經(jīng)過(guò)對(duì) DoNot Team 黑客組織在 4 月份部署的 Agent K11 和 RTY 框架雙重攻擊序列的研究分析，卡巴斯基表示攻擊鏈被配置成了提供一個(gè)名為 CSVtyrei 的下載程序，該下載程序因與 Vtyeri 相似而得名（Vtyrei又名 BREEZESUGAR，此前曾被攻擊者用來(lái)部署一種名為 RTY 的惡意軟件框架）。

印巴之間頻繁發(fā)生網(wǎng)絡(luò)攻擊

值得一提的是，Zscaler ThreatLabz 同樣發(fā)現(xiàn)總部位于巴基斯坦的 Transparent Tribe（又名 APT36）利用新型惡意軟件庫(kù)針對(duì)印度政府部門(mén)開(kāi)展惡意活動(dòng)，其中包括一個(gè)名為 ElizaRAT 的 Windows 木馬程序（該木馬第一次出現(xiàn)）。安全研究人員 Sudeep Singh 上個(gè)月表示 ElizaRAT 以.NET 二進(jìn)制文件的形式發(fā)布，并通過(guò) Telegram 建立C2 通信渠道，使威脅攻擊者能夠完全控制目標(biāo)端點(diǎn)。

Transparent Tribe 自 2013 年以來(lái)一直活躍在印度，主要利用憑據(jù)收集和惡意軟件分發(fā)攻擊，經(jīng)常分發(fā) Kavach 多因素身份驗(yàn)證等印度政府應(yīng)用程序的木馬安裝程序，并將 Mythic 等開(kāi)源命令與控制（C2）框架武器化。

Zscaler 表示其發(fā)現(xiàn)了一小部分桌面入口文件，這些文件為執(zhí)行基于 Python 的 ELF 二進(jìn)制文件“鋪平”了道路，其中包括用于文件外滲的 GLOBSHELL 和用于從 Mozilla Firefox 瀏覽器中竊取會(huì)話數(shù)據(jù)的PYSHELLFOX，這樣的情況說(shuō)明網(wǎng)絡(luò)攻擊者可能也已經(jīng)將攻擊目標(biāo)轉(zhuǎn)向了 Linux。

Singh 指出印度政府部門(mén)正準(zhǔn)備大規(guī)模使用基于 Linux 的操作系統(tǒng)，因此，網(wǎng)路攻擊者將 Linux 環(huán)境作為攻擊目標(biāo)，很可能也是因?yàn)橛《葲Q定在政府和國(guó)防部門(mén)使用基于 Debian Linux 的操作系統(tǒng) Maya OS 取代微軟 Windows 操作系統(tǒng)。

除了上述提到的 DoNot Team 和 Transparent Tribe，安全研究人員還發(fā)現(xiàn)了另外一個(gè)代號(hào)為 "神秘大象"（又名 APT-K-47）黑客組織，它在魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)投放了一個(gè)名為 ORPCBackdoor 的新型后門(mén)，能夠在受害者的計(jì)算機(jī)上執(zhí)行文件和命令，并從惡意服務(wù)器接收文件或命令。

從  Knownsec 404 小組的研究結(jié)果來(lái)看，APT-K-47 與 SideWinder、Patchwork、Confucius 和 Bitter 等其他黑客組織使用的工具以及攻擊目標(biāo)高度重疊，其中大多數(shù)應(yīng)該都屬于印度“陣營(yíng)”。

文章來(lái)源：https://thehackernews.com/2023/10/donot-teams-new-firebird-backdoor-hits.html