Компания Intezer отслеживала активность, направленную на энергетический сектор, и заметила кампанию, методы которой совпадают с методами Bitter APT, действующей в Азиатско-Тихоокеанском регионе.
Intezer установили связь с Bitter APT через тактику, методы и процедуры (TTP), которые были замечены в других публикациях, например, использование эксплойтов Microsoft Office через файлы Excel, а также использование файлов CHM и Windows Installer (MSI).
Bitter APT - это южноазиатская группа угроз, которая обычно атакует энергетический и правительственный секторы; известно, что они атаковали Пакистан, Китай, Бангладеш и Саудовскую Аравию.
Bitter APT продолжают атаковать организации в Китае в рамках кампании шпионажа, как показывают наши исследования. Для некоторых полезных нагрузок у нас есть соответствующие фишинговые электронные письма, которые использовались в качестве приманки для доставки файлов, что позволяет проанализировать использованные методы социальной инженерии. Мы отметили обновления в используемых на первом этапе полезных нагрузках с новыми слоями обфускации для затруднения анализа и дополнительными приманками, используемыми для социальной инженерии.
Bitter APT IOCs
Indicators of Compromise
Domains
- coauthcn.com
- mirzadihatti.com
- qwavemediaservice.net
SHA256
- 06b4c1f46845cee123b2200324a3ebb7fdbea8e2c6ef4135e3f943bd546a2431
- 07504fcef717e6b74ed381e94eab5a9140171572b5572cda87b275e3873c8a88
- 33905e2db3775d2e8e75c61e678d193ac2bab5b5a89d798effbceb9ab202d799
- 33a20950e7f4b2191706ddf9089f1e91be1e5384cca00a57cf6b58056f70c96b
- 5c85194ade91736a12b1eeeb13baa0b0da88c5085ca0530c4f1d86342170b3bc
- 5f663f15701f429f17cc309d10ca03ee00fd20f733220cc9d2502eff5d0cd1a1
- 7e7e90b076ef3ea4ef8ed4ef14fb599a2acb15d9ce00c78e5949186da1e355cf
- 8d2f6b0d7a6a06708593cc64d9187878ea9d2cc3ae9a657926aa2a8522b93f74
- b2566755235c1df3371a7650d94339e839efaa85279656aa9ab4dc4f2d94bbfa
- cac239cf09a6a5bc1f9a3b29141336773c957d570212b97f73e13122fe032179
- ded0635c5ef9c3d63543abc36a69b1176875dba84ca005999986bd655da3a446
- eb7aebded5549f8b006e19052e0d03dc9095c75a800897ff14ef872f18c8650e
- Ef4fb1dc3d1ca5ea8a88cd94596722b93524f928d87dff0d451d44da4e9181f1