freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

巴基斯坦和阿富汗被 DoNot Team 黑客组织“盯上了”!
2023-10-24 11:40:27
所属地 上海

The Hacker News 网站消息,网络安全公司卡巴斯基在其 2023 年第三季度 APT 趋势报告中透露,一个名为 DoNot Team 的黑客组织与使用名为 Firebird 的新型基于 .NET 的后门,针对巴基斯坦和阿富汗发起了网络攻击。1698118722_65373c42afadf406bff0d.png!small?1698118723268

据悉,DoNot Team 也被称为 APT-C-35、Origami Elephant 和 SECTOR02,疑似源自印度,其攻击方式主要是通过鱼叉式网络钓鱼电子邮件和流氓 Android 应用程序,传播恶意软件。

经过对 DoNot Team 黑客组织在 4 月份部署的 Agent K11 和 RTY 框架双重攻击序列的研究分析,卡巴斯基表示攻击链被配置成了提供一个名为 CSVtyrei 的下载程序,该下载程序因与 Vtyeri 相似而得名(Vtyrei又名 BREEZESUGAR,此前曾被攻击者用来部署一种名为 RTY 的恶意软件框架)。

印巴之间频繁发生网络攻击

值得一提的是,Zscaler ThreatLabz 同样发现总部位于巴基斯坦的 Transparent Tribe(又名 APT36)利用新型恶意软件库针对印度政府部门开展恶意活动,其中包括一个名为 ElizaRAT 的 Windows 木马程序(该木马第一次出现)。安全研究人员 Sudeep Singh 上个月表示 ElizaRAT 以.NET 二进制文件的形式发布,并通过 Telegram 建立C2 通信渠道,使威胁攻击者能够完全控制目标端点。

Transparent Tribe 自 2013 年以来一直活跃在印度,主要利用凭据收集和恶意软件分发攻击,经常分发 Kavach 多因素身份验证等印度政府应用程序的木马安装程序,并将 Mythic 等开源命令与控制(C2)框架武器化。

1698118822_65373ca63d18e272792b4.png!small?1698118822132

Zscaler 表示其发现了一小部分桌面入口文件,这些文件为执行基于 Python 的 ELF 二进制文件“铺平”了道路,其中包括用于文件外渗的 GLOBSHELL 和用于从 Mozilla Firefox 浏览器中窃取会话数据的PYSHELLFOX,这样的情况说明网络攻击者可能也已经将攻击目标转向了 Linux。

Singh 指出印度政府部门正准备大规模使用基于 Linux 的操作系统,因此,网路攻击者将 Linux 环境作为攻击目标,很可能也是因为印度决定在政府和国防部门使用基于 Debian Linux 的操作系统 Maya OS 取代微软 Windows 操作系统。

除了上述提到的 DoNot Team 和 Transparent Tribe,安全研究人员还发现了另外一个代号为 "神秘大象"(又名 APT-K-47)黑客组织,它在鱼叉式网络钓鱼活动投放了一个名为 ORPCBackdoor 的新型后门,能够在受害者的计算机上执行文件和命令,并从恶意服务器接收文件或命令。

从  Knownsec 404 小组的研究结果来看,APT-K-47 与 SideWinder、Patchwork、Confucius 和 Bitter 等其他黑客组织使用的工具以及攻击目标高度重叠,其中大多数应该都属于印度“阵营”。

文章来源:

https://thehackernews.com/2023/10/donot-teams-new-firebird-backdoor-hits.html


本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录