Firebird Backdoor

被識別為 DoNot Team 的威脅組織與名為 Firebird 的基於 .NET 的創新後門的部署有關。該後門已被用來針對巴基斯坦和阿富汗的少數受害者。

網路安全研究人員發現，這些攻擊的目的是部署一個名為 CSVtyrei 的下載器，該名稱源自於其與 Vtyrei 的相似之處。 Vtyrei，也稱為 BREEZESUGAR，表示攻擊者先前用來分發名為 RTY 的惡意框架的初始階段有效負載和下載器變體。

DoNot Team 是一位活躍的網路犯罪威脅參與者

DoNot Team，也稱為 APT-C-35、Origami Elephant 和 SECTOR02，是一個高級持續性威脅 (APT) 組織，據信與印度政府有聯繫。該組織至少自 2016 年起就一直活躍，而且其形成可能早於這一時期。

DoNot Team 的主要目標似乎是支持印度政府利益的間諜活動。網路安全研究人員觀察到該組織針對這一特定目標開展了多次活動。

雖然 DoNot Team 最初已知的攻擊針對的是挪威的一家電信公司，但重點主要圍繞在南亞的間諜活動。鑑於克什米爾衝突持續不斷，他們的主要興趣地區是克什米爾地區。這場爭端已經持續了很長時間，印度和巴基斯坦都聲稱對整個地區擁有主權，儘管他們各自控制著一部分地區。迄今為止，旨在持久解決此問題的外交努力尚未成功。

DoNot Team 主要針對與政府、外交部、軍事組織和大使館相關的實體。

Firebird 後門是 DoNot 團隊部署的新威脅工具

廣泛的檢查顯示存在一個名為 Firebird 的新的基於 .NET 的後門。此後門由一個主載入程式和至少三個插件組成。值得注意的是，所有分析的樣本都透過 ConfuserEx 表現出強大的保護，導致檢出率極低。此外，範例中的某些程式碼部分似乎無法運行，表明正在進行的開發活動。

南亞地區是網路犯罪活動的溫床

據觀察，總部位於巴基斯坦的透明部落（也稱為 APT36）涉及針對印度政府內部部門的惡意活動。他們使用了更新的惡意軟體庫，其中包括以前未記錄的名為 ElizaRAT 的 Windows 木馬。

透明部落 (Transparent Tribe) 自 2013 年開始運營，一直從事憑證收集和惡意軟體分發攻擊。他們經常分發印度政府應用程式的木馬安裝程序，例如 Kavach 多因素身份驗證。此外，他們還利用了開源命令與控制 (C2) 框架，例如 Mythic。

值得注意的是，Transparent Tribe 已將重點擴展到 Linux 系統。研究人員已經確定了數量有限的桌面入口文件，這些文件有助於執行基於 Python 的 ELF 二進位文件，包括用於文件滲漏的 GLOBSHELL 和用於從 Mozilla Firefox 瀏覽器提取會話資料的 PYSHELLFOX。基於 Linux 的作業系統在印度政府部門中很受歡迎。

除了DoNot Team和Transparent Tribe之外，亞太地區另一個對巴基斯坦特別感興趣的民族國家組織也出現了。該攻擊者被稱為「神秘大象」或 APT-K-47，與魚叉式網路釣魚活動有關。該活動部署了一個名為 ORPCBackdoor 的新型後門，該後門能夠在受害者的電腦上執行檔案和命令，並與惡意伺服器通訊以發送或接收檔案和命令。