印度疑似国家赞助的威胁行动

主要重点

• 印度的 DoNot Team 针对阿富汗和巴基斯坦的组织进行了新一轮攻击，使用了名为 Firebird 的后门。
• 这些攻击还涉及了 CSVtyrei 下载器，这是 DoNot Team 先前活动中 Vtyrei 负载的变种。
• Kaspersky 表示部分代码显示出未完全功能，暗示仍在开发中。
• 印度政府机构近期也遭到与巴基斯坦有关的骇客组织 Transparent Tribe 针对，并使用 ElizaRAT 木马进行攻击。
• 另外，巴基斯坦的组织也遇到了疑似印度国家支持的骇客组织 Mysterious Elephant 的网路钓鱼攻击，该组织使用了新的 ORPCBackdoor 负载。

根据 ，疑似印度政府赞助的威胁小组 DoNot Team（也称为 APT-C-35、SECTOR02 和
Origami Elephant）最近在对阿富汗与巴基斯坦组织的攻击中使用了名为 Firebird 的新型后门。这些攻击还包括部署了 CSVtyrei下载器，该下载器类似于之前 DoNot Team 入侵中使用的第一阶段 Vtyrei 负载，也被称为 BREEZESUGAR。Kaspersky发现，”部分示例中的代码似乎无法正常运作，暗示著有持续的开发努力。”

这一发展发生在 Zscaler ThreatLabz 报导中指出，印度政府组织已遭到与巴基斯坦相关的骇客组织 Transparent Tribe针对，且这一系列攻击涉及到 ElizaRAT Windows 木马。同时，据 Knownsec 404 Team的报告，巴基斯坦的组织也在一场由疑似印度国家背书骇客组织 Mysterious Elephant（也称为
APT-K-47）发起的网路钓鱼运动中受到攻击，该组织运用了新的 ORPCBackdoor 负载。

攻击组织 | 目标 | 使用的工具
—|—|—
DoNot Team | 阿富汗和巴基斯坦组织 | Firebird 后门，CSVtyrei 下载器
Transparent Tribe | 印度政府组织 | ElizaRAT 木马
Mysterious Elephant | 巴基斯坦组织 | ORPCBackdoor 负载

此信息提示了新的网路安全挑战，各组织需加强防范措施以抵挡潜在威胁。