Bitter APT: Восемь лет шпионажа и эволюция вредоносного арсенала

С момента появления первых образцов вредоносного ПО в 2016 году инструментарий Bitter значительно усложнился: от простых загрузчиков до полноценных RAT (Remote Access Trojan), способных к скрытому удалённому управлению системами жертв. Группа предпочитает использовать собственные разработки, избегая сложных методов антианализа внутри самих вредоносных программ, полагаясь вместо этого на цепочки заражения.

Одной из характерных черт Bitter является использование единых шаблонов кода, особенно в сборе системной информации и обфускации строк. Это указывает на общую базу разработчиков. В последнее время группа активно развивает новые варианты своих вредоносных семейств, включая MuuyDownloader, BDarkRAT и MiyaRAT, которые были замечены в недавних кампаниях.

Эволюция инструментов

Изначально Bitter использовала ArtraDownloader - простой загрузчик на C++, который собирал данные о системе, генерировал уникальный идентификатор жертвы и загружал дополнительные модули. Со временем группа перешла на более сложные инструменты, такие как MuuyDownloader, который шифрует передаваемые данные и использует различные методы обфускации строк.

Среди ключевых вредоносных семейств выделяются:

• BDarkRAT - .NET-троян, основанный на открытом DarkAgentRAT, но с расширенными возможностями, включая захват экрана и выполнение PowerShell-команд.
• AlmondRAT - ещё один .NET-троян, схожий по функционалу с BDarkRAT, но использующий AES-256-CBC для шифрования строк.
• MiyaRAT - C++-троян, активно развивающийся в 2024-2025 годах, с поддержкой командной строки, удаления файлов и перехвата скриншотов.
• KiwiStealer - простой похититель файлов, появившийся в конце 2024 года, который ищет документы, архивы и сертификаты.

Общие тактики и методы

Анализ показал, что Bitter придерживается единого подхода в сборе информации: почти все их вредоносные программы извлекают имя компьютера, пользователя и данные ОС. Методы шифрования эволюционировали от простого сложения/вычитания символов до XOR и AES-256-CBC.

Группа также активно меняет форматы C2-сообщений и алгоритмы обфускации, что усложняет обнаружение. Например, последние версии MiyaRAT используют XOR для шифрования трафика, а строки скрыты так, что видны только первые символы команд.

Выводы

Bitter демонстрирует высокую адаптивность, постоянно модернизируя свои инструменты. Их методы остаются достаточно простыми, но эффективными, что позволяет им долгое время оставаться незамеченными. Исследователи рекомендуют уделять особое внимание сигнатурам, основанным на структурном анализе кода, так как традиционные YARA-правила могут пропускать новые варианты вредоносных программ.

IPv4

• 64.44.131.109

Domains

• academymusica.com
• aroundtheworld123.net
• ebeninstallsvc.com
• frameworksupport.net
• gorgxwebset.com
• helpdesk.autodefragapp.com
• hewle.kielsoservice.net
• m.huandocimama.com
• msdata.ddns.net
• mswinhostsvc.net
• nethostsupport.ddns.net
• otx.gxwxtvonline.com
• outlook-services.ddns.net
• samsnewlooker.com
• tradesmarkets.greenadelhouse.com
• uxmesysconsole.com
• wcnchost.ddns.net
• wmiapcservice.com
• wusvcpsvc.com

SHA256

• 0953d4cc6861082c079935918c63cd71df30e5e6854adf608a8b8f5254be8e99
• 096e6546b5ca43adbe34bbedc84b002bbf399d2ecf08e83966757b88c5c0d2a2
• 0b2a794bac4bf650b6ba537137504162520b67266449be979679afbb14e8e5c0
• 10cec5a84943f9b0c635640fad93fd2a2469cc46aae5e43a4604c903d139970f
• 1f9363e640e9fe0d25ef15ed5d3517ec5b3fb16e3b1abb58049f5ad45415654d
• 225d865d61178afafc33ef89f0a032ad0e17549552178a72e3182b48971821a8
• 3fdf291e39e93305ebc9df19ba480ebd60845053b0b606a620bf482d0f09f4d3
• 4b62fc86273cdc424125a34d6142162000ab8b97190bf6af428d3599e4f4c175
• 55901c2d5489d6ac5a0671971d29a31f4cdfa2e03d56e18c1585d78547a26396
• 811741d9df51a9f16272a64ec7eb8ff12f8f26794368b1ff4ad5d30a1f4bb42a
• 8aeb7dd31c764b0cf08b38030a73ac1d22b29522fbcf512e0d24544b3d01d8b3
• 91ddbe011f1129c186849cd4c84cf7848f20f74bf512362b3283d1ad93be3e42
• 9319421ff52d7ea4cca08d1cc7064f9ed5b19ee19dbdde182a0e51325632df88
• a241cfcd60942ea401d53d6e02ec3dfb5f92e8f4fda0aef032bee7bb5a344c35
• a56b5e90a08822483805f9ab38debb028eb5eade8d796ebf0ff1695c3c379618
• bf169e4dacda653c367b015a12ee8e379f07c5728322d9828b7d66f28ee7e07a
• c2c92f2238bc20a7b4d4c152861850b8e069c924231e2fa14ea09e9dcd1e9f0a
• c7ab300df27ad41f8d9e52e2d732f95479f4212a3c3d62dbf0511b37b3e81317
• d83cb82be250604b2089a1198cedd553aaa5e8838b82011d6999bc6431935691
• dd53768eb7d5724adeb58796f986ded3c9b469157a1a1757d80ccd7956a3dbda
• df5c0d787de9cc7dceeec3e34575220d831b5c8aeef2209bcd81f58c8b3c08ed
• e599c55885a170c7ae5c7dfdb8be38516070747b642ac21194ad6d322f28c782
• edb68223db3e583f9a4dd52fd91867fa3c1ce93a98b3c93df3832318fd0a3a56
• ef0cb0a1a29bcdf2b36622f72734aec8d38326fc8f7270f78bd956e706a5fd57
• f0ef4242cc6b8fa3728b61d2ce86ea934bd59f550de9167afbca0b0aaa3b2c22
• f619eb9a6255f6adcb02d59ed20f69d801a7db1f481f88e14abca2df020c4d26