The Hacker News 网站消息，网络安全公司卡巴斯基在其 2023 年第三季度 APT 趋势报告中透露，一个名为 DoNot Team 的黑客组织与使用名为 Firebird 的新型基于 .NET 的后门，针对巴基斯坦和阿富汗发起了网络攻击。

据悉，DoNot Team 也被称为 APT-C-35、Origami Elephant 和 SECTOR02，疑似源自印度，其攻击方式主要是通过鱼叉式网络钓鱼电子邮件和流氓 Android 应用程序，传播恶意软件。

经过对 DoNot Team 黑客组织在 4 月份部署的 Agent K11 和 RTY 框架双重攻击序列的研究分析，卡巴斯基表示攻击链被配置成了提供一个名为 CSVtyrei 的下载程序，该下载程序因与 Vtyeri 相似而得名（Vtyrei又名 BREEZESUGAR，此前曾被攻击者用来部署一种名为 RTY 的恶意软件框架）。

印巴之间频繁发生网络攻击

值得一提的是，Zscaler ThreatLabz 同样发现总部位于巴基斯坦的 Transparent Tribe（又名 APT36）利用新型恶意软件库针对印度政府部门开展恶意活动，其中包括一个名为 ElizaRAT 的 Windows 木马程序（该木马第一次出现）。安全研究人员 Sudeep Singh 上个月表示 ElizaRAT 以.NET 二进制文件的形式发布，并通过 Telegram 建立C2 通信渠道，使威胁攻击者能够完全控制目标端点。

Transparent Tribe 自 2013 年以来一直活跃在印度，主要利用凭据收集和恶意软件分发攻击，经常分发 Kavach 多因素身份验证等印度政府应用程序的木马安装程序，并将 Mythic 等开源命令与控制（C2）框架武器化。

Zscaler 表示其发现了一小部分桌面入口文件，这些文件为执行基于 Python 的 ELF 二进制文件“铺平”了道路，其中包括用于文件外渗的 GLOBSHELL 和用于从 Mozilla Firefox 浏览器中窃取会话数据的PYSHELLFOX，这样的情况说明网络攻击者可能也已经将攻击目标转向了 Linux。

Singh 指出印度政府部门正准备大规模使用基于 Linux 的操作系统，因此，网路攻击者将 Linux 环境作为攻击目标，很可能也是因为印度决定在政府和国防部门使用基于 Debian Linux 的操作系统 Maya OS 取代微软 Windows 操作系统。

除了上述提到的 DoNot Team 和 Transparent Tribe，安全研究人员还发现了另外一个代号为 "神秘大象"（又名 APT-K-47）黑客组织，它在鱼叉式网络钓鱼活动投放了一个名为 ORPCBackdoor 的新型后门，能够在受害者的计算机上执行文件和命令，并从恶意服务器接收文件或命令。

从  Knownsec 404 小组的研究结果来看，APT-K-47 与 SideWinder、Patchwork、Confucius 和 Bitter 等其他黑客组织使用的工具以及攻击目标高度重叠，其中大多数应该都属于印度“阵营”。

文章来源：

https://thehackernews.com/2023/10/donot-teams-new-firebird-backdoor-hits.html