В разгар военной эскалации между Индией и Пакистаном 7 мая 2025 года хакерская группировка Bitter APT (известная как TA397) провела целевую фишинговую атаку на сотрудников Pakistan Telecommunication Company Limited (PTCL). Эксперты EclecticIQ и Hudson Rock установили, что атака направлена на инженеров 5G, DevOps-специалистов и экспертов по спутниковой связи с целью хищения государственных и коммерческих секретов.
Описание
Ключевые детали атаки
Злоумышленники использовали скомпрометированные учетные данные почты Контртеррористического департамента Пакистана ([email protected]), полученные через вредонос StealC в августе 2024 года. Фишинговое письмо с темой "Security Brief Report" содержало файл Security Brief Report.iqy, который при открытии запускал скрипт для загрузки трояна WmRAT.
Техника исполнения:
- IQY-файл активировал макрос Excel, использующий команды CMD для:
- Создания исполняемого файла в C:\ProgramData;
- Загрузки вредоноса с домена fogomyart[.]com под видом PNG-изображения;
- Автозапуска через реестр (HKCU\Software\Microsoft\Windows\CurrentVersion\Run).
Функционал WmRAT
Троянец собирает данные системы (имя пользователя, геолокацию), делает скриншоты, загружает/скачивает файлы и выполняет команды через CMD или PowerShell. Связь с C2-сервером (tradesmarkets[.]greenadelhouse[.]com) осуществляется через HTTPS-запросы с замаскированным параметром vrocean, содержащим Base64-кодированные данные жертвы.
Индикаторы компрометации
Domains
- greenadelhouse.com
URLs
- fogomyart.com/random.php
SHA256
- 36dbf119cb0cca52aed82ca3e69bbe09d96fa92f2831f8e14dc1bd1b6a5e9590
- de6b41ab72bfa4114c79464d1083737c6dfa55767339d732db8d2edd462832ed
- edb68223db3e583f9a4dd52fd91867fa3c1ce93a98b3c93df3832318fd0a3a56