Hackernews 编译，转载请注明出处

近期，DoNot Team的黑客被发现使用了一种新型的基于.NET的后门，名为Firebird，其主要针对巴基斯坦和阿富汗的一些受害者。

网络安全公司卡巴斯基在其2023年第三季度APT趋势报告中披露了这一发现，称这些攻击链还配置了一个名为CSVtyrei的下载器（因其与Vtyrei相似而得名）。

这家俄罗斯公司表示：“示例中的一些代码似乎不起作用，其暗示着正在进行的开发工作。”

Vtyrei（又名BREEZESUGAR）指的是先前被对手利用来传递名为RTY的恶意软件框架的第一阶段负载和下载器变种。

DoNot Team，也被称为APT-C-35、Origami Elephant和SECTOR02，疑似起源于印度，其攻击利用鱼叉式网络钓鱼电子邮件和恶意的 Android 应用程序来传播恶意软件。

卡巴斯基的最新评估是基于黑客 2023 年 4 月部署 Agent K11 和 RTY 框架的双重攻击序列的分析。

此外，网络安全公司Zscaler ThreatLabz披露了总部位于巴基斯坦的Transparent Tribe（又名APT36））攻击者使用更新的恶意软件库对印度政府部门开展了新的恶意活动，其中包括以前未记录的名为 ElizaRAT 的 Windows 木马。

安全研究员 Sudeep Singh上个月指出：“ElizaRAT以.NET二进制形式传递，并通过 Telegram 建立 C2 通信通道，使黑客能够完全控制目标端点。”

Transparent Tribe自2013年以来一直活跃，利用凭证收集和恶意软件分发攻击，经常分发 Kavach 多因素身份验证等印度政府应用程序的木马安装程序，并将开源命令与控制 (C2) 框架（例如 Mythic）武器化。

这个黑客组织近期也也有了瞄准了Linux系统的迹象，Zscaler表示：他们发现了一小组桌面入口文件，这些文件为执行基于Python的ELF二进制文件铺平了道路，其中包括用于用于文件渗漏的GLOBSHELL以及从Mozilla Firefox浏览器中窃取会话数据的PYSHELLFOX。

Sudeep Singh表示：“印度政府部门广泛使用基于Linux的操作系统”，他补充说，瞄准Linux环境还可能是因为印度决定在跨政府和国防部门全面使用以Debian Linux为基础的操作系统Maya OS，以替代微软Windows操作系统。

除了DoNot Team和Transparent Tribe，还有来自亚太地区的另一个国家级行动者重点关注巴基斯坦地区。

代号神秘象（又名APT-K-47）的黑客组织被认为涉及一场利用一种名为ORPCBackdoor的新型后门的钓鱼攻击活动，该后门能够在受害者计算机上执行文件和命令，并从恶意服务器接收文件或命令。

知道创宇 404高级威胁情报团队曾在文章中表示，APT-K-47 与SideWinder、Patchwork、Confucius和Bitter等其他参与者的工具和目标有重叠，其中大多数被认为和印度有关联。

---

Hackernews 编译，转载请注明出处：

消息来源：thehackernews，译者：dengdeng；