Команда SECUINFRA Falcon Team выявила недавнюю атаку, соответствующую кампании, направленной на Бангладеш, проведенную группой современных постоянных угроз "Bitter", также известной как T-APT-17.
Bitter APT
- Bitter использует вредоносные файлы документов в качестве приманки, содержащие различные реализации так называемых "эксплойтов Equation Editor" для загрузки следующих этапов вредоносного ПО.
- Второй этап состоит из загрузчика, который собирает информацию о зараженной системе и извлекает третий этап с удаленного сервера.
- Третий этап атаки Bitter может включать различные типы вредоносного ПО, например, кейлоггеры, крадущие программы или трояны удаленного доступа (RAT). SECUINFRA Falcon Team проанализировали одну из новых RAT, которую назвали "Almond RAT".
Считается, что APT-группа Bitter действует по меньшей мере с 2013 года, впервые о ней было сообщено Forcepoint Labs в 2016 году, когда она была нацелена в основном на Пакистан. Предположительно, группа находится в Южной Азии. Уже тогда группа использовала спирфишинговые электронные письма для эксплуатации Microsoft Office (например, CVE-2012-0158) и загрузки дополнительного вредоносного ПО, так что по сравнению с сегодняшними атаками их методы работы совершенно не изменились. Иногда они также атакуют устройства Android с помощью троянов удаленного доступа, о чем BitDefender сообщает в 2020 году.
В феврале 2019 года компания Palo Alto Networks задокументировала атаки Bitter с использованием загрузчика второй стадии под названием "ArtraDownloader", который используется с 2017 года. Также в список целей были добавлены китайские и саудовские организации.
Как обнаружили компании Cyble и Kaspersky в 2021 году, группа Bitter способна не только на старые эксплойты Office, но и на использование уязвимостей 0-дня, таких как уязвимость в ядре Windows (CVE-2021-1732) и уязвимость в диспетчере окон рабочего стола Windows (CVE-2021-28310) для повышения привилегий.
В мае 2022 года Cisco Talos поделилась анализом новой кампании Bitter, нацеленной на пользователей в Бангладеш, начиная с октября 2021 года по февраль 2022 года, с новым загрузчиком второй стадии под названием "ZxxZ".
Данный отчет основывается на результатах, опубликованных компанией Talos, и охватывает атаку, предположительно проведенную в середине мая 2022 года.
Незадолго до завершения работы над этим отчетом Центр разведки угроз Qi Anxin опубликовал отчет о недавней деятельности Bitter, направленной на военные подразделения Бангладеш. Они также упомянули образец RAT.
4 июля @c3rb3ru5d3d53c опубликовал отчет о кампании Bitter, направленной на Пакистан. Помимо множества шагов анализа, которые соответствуют нашему подходу, было также продемонстрировано, как ZxxZ Downloader может быть использован с пользовательским C2-сервером.
Indicators of Compromise
IPv4
- 91.195.240.103
- 194.36.191.196
- 162.0.232.109
- 64.44.131.109
Domains
- saebamini.com
- m.huandocimama.com
- diyefosterfeeds.com
URLs
- emshedulersvc.com/vc/vc
MD5
- 1bf615946ad9ea7b5a282a8529641bf6
- 6e4b4eb701f3410ebfb5925db32b25dc
- 71e1cfb5e5a515cea2c3537b78325abf
- a1d9e1dccfbba118d52f95ec6cc7c943
- d58e6f93bd1eb81eacc965d530709246
SHA1
- 358867f105b517624806c3315c5426803f7c42a7
- 8efa4d5574a0c80733e9824ec146521385a68424
- a47aec515f303ae7f427d98fc69fe828fa9c6ec6
- bcc9e35c28430264575831e851182eca7219116f
- c330ef43bbee001296c6c120cf68e4c90d078d9c
SHA256
- 0c7158f9fc2093caf5ea1e34d8b8fffce0780ffd25191fac9c9b52c3208bc450
- 55901c2d5489d6ac5a0671971d29a31f4cdfa2e03d56e18c1585d78547a26396
- 91ddbe011f1129c186849cd4c84cf7848f20f74bf512362b3283d1ad93be3e42
- bc03923e3cc2895893571068fd20dd0bc626764d06a009b91dac27982e40a085
- d83cb82be250604b2089a1198cedd553aaa5e8838b82011d6999bc6431935691