Firebird Backdoor

被识别为 DoNot Team 的威胁组织与名为 Firebird 的基于 .NET 的创新后门的部署有关。该后门已被用来针对巴基斯坦和阿富汗的少数受害者。

网络安全研究人员发现，这些攻击的目的是部署一个名为 CSVtyrei 的下载器，该名称源自其与 Vtyrei 的相似之处。 Vtyrei，也称为 BREEZESUGAR，表示攻击者之前用来分发名为 RTY 的恶意框架的初始阶段有效负载和下载器变体。

DoNot Team 是活跃的网络犯罪威胁参与者

DoNot Team，也称为 APT-C-35、Origami Elephant 和 SECTOR02，是一个高级持续威胁 (APT) 组织，据信与印度政府有联系。该组织至少自 2016 年起就一直活跃，而且其形成可能早于这一时期。

DoNot Team 的主要目标似乎是支持印度政府利益的间谍活动。网络安全研究人员观察到该组织针对这一特定目标开展了多次活动。

虽然 DoNot Team 最初已知的攻击针对的是挪威的一家电信公司，但其重点主要围绕南亚的间谍活动。鉴于克什米尔冲突持续不断，他们的主要兴趣地区是克什米尔地区。这一争端已经持续了很长时间，印度和巴基斯坦都声称对整个地区拥有主权，尽管他们各自控制着一部分地区。迄今为止，旨在持久解决这一问题的外交努力尚未成功。

DoNot Team 主要针对与政府、外交部、军事组织和大使馆相关的实体。

Firebird 后门是 DoNot 团队部署的新威胁工具

广泛的检查显示存在一个名为 Firebird 的新的基于 .NET 的后门。该后门由一个主加载程序和至少三个插件组成。值得注意的是，所有分析的样本都通过 ConfuserEx 表现出强大的保护，导致检出率极低。此外，示例中的某些代码部分似乎无法运行，表明正在进行的开发活动。

南亚地区是网络犯罪活动的温床

据观察，总部位于巴基斯坦的透明部落（也称为 APT36）涉及针对印度政府内部部门的恶意活动。他们使用了更新的恶意软件库，其中包括以前未记录的名为 ElizaRAT 的 Windows 木马。

透明部落 (Transparent Tribe) 自 2013 年开始运营，一直从事凭证收集和恶意软件分发攻击。他们经常分发印度政府应用程序的木马安装程序，例如 Kavach 多因素身份验证。此外，他们还利用了开源命令与控制 (C2) 框架，例如 Mythic。

值得注意的是，Transparent Tribe 已将其重点扩展到 Linux 系统。研究人员已经确定了数量有限的桌面入口文件，这些文件有助于执行基于 Python 的 ELF 二进制文件，包括用于文件渗漏的 GLOBSHELL 和用于从 Mozilla Firefox 浏览器提取会话数据的 PYSHELLFOX。基于 Linux 的操作系统在印度政府部门中很流行。

除了DoNot Team和Transparent Tribe之外，亚太地区另一个对巴基斯坦特别感兴趣的民族国家组织也出现了。该攻击者被称为“神秘大象”或 APT-K-47，与鱼叉式网络钓鱼活动有关。该活动部署了一个名为 ORPCBackdoor 的新型后门，该后门能够在受害者的计算机上执行文件和命令，并与恶意服务器通信以发送或接收文件和命令。