Китайский центр анализа угроз компании QiAnXin обнаружил новую кампанию хакерской группировки Bitter, также известной как APT-Q-37 или "蔓灵花". Эта группа, предположительно связанная с Южной Азией, длительное время проводит целевые атаки на государственные, энергетические и оборонные организации в Китае и Пакистане с целью кражи конфиденциальных данных.
Описание
В ходе последней кампании злоумышленники использовали два различных метода для внедрения одного и того же бэкдора, написанного на C#. Этот бэкдор способен загружать и исполнять произвольные EXE-файлы с удаленного сервера под управлением злоумышленников.
Первый метод атаки предполагает использование файла с расширением .xlam, содержащего вредоносный VBA-макрос. При открытии файла появляется сообщение "文件解析失败,内容损坏" ("Ошибка анализа файла, содержимое повреждено"), предназначенное для дезориентации жертвы. Макрос декодирует исходный код бэкдора из формата Base64, сохраняет его на диск как "C:\programdata\cayote.log", а затем компилирует с помощью csc.exe - компилятора C#, входящего в состав .NET Framework. Полученная библиотека "vlcplayer.dll" устанавливается в систему с помощью утилиты InstallUtil.exe, что обеспечивает ее автоматический запуск. Для обеспечения устойчивости макрос создает BAT-файл в папке автозагрузки, который создает запланированную задачу, обращающуюся к домену www.keeferbeautytrends[.]com.
Второй метод атаки использует уязвимость обхода пути в WinRAR для подмены файла Normal.dotm - глобального шаблона Microsoft Word. Вредоносный RAR-архив содержит файл Document.docx и Normal.dotm, путь к которому сконструирован особым образом. Если жертва распаковывает архив в своей пользовательской папке, например, в "Загрузках" или на "Рабочем столе", происходит перезапись легитимного файла Normal.dotm в папке шаблонов Word. Когда пользователь открывает Document.docx, Word автоматически загружает и исполняет вредоносный макрос из подмененного Normal.dotm. Этот макрос подключается к удаленному сетевому ресурсу \\koliwooclients.com\templates и запускает находящийся там файл winnsc.exe, который является тем же самым C#-бэкдором.
Технический анализ бэкдора выявил его функциональность. Он работает в бесконечном цикле, собирая информацию о системе: путь к временной папке, версию и разрядность операционной системы, имя хоста. Эти данные отправляются на сервер управления и контроля (Command and Control, C&C) по адресу hxxps://msoffice.365cloudz.esanojinjasvc[.]com/cloudzx/msweb/drxbds23.php. В ответ сервер может прислать команду на загрузку и выполнение дополнительной полезной нагрузки. Бэкдор запрашивает указанный EXE-файл с другого URL, добавляет к нему корректный DOS-заголовок, проверяет его валидность и исполняет. Результат операции (успех или неудача) затем отправляется на третий C&C-URL.
Атрибуция атаки группировке Bitter подтверждается использованием ранее известной инфраструктуры. Домен www.keeferbeautytrends.com, используемый для обеспечения устойчивости в первой атаке, и сервер koliwooclients[.]com, используемый во второй атаке, ранее уже связывались с деятельностью этой группировки различными исследователями безопасности. Оба вектора атаки приводят к установке одного и того же бэкдора, который связывается с поддоменами домена esanojinjasvc.com, зарегистрированного в апреле этого года.
Данная кампания демонстрирует, что Bitter продолжает развивать свои тактики и арсенал. Использование компиляции бэкдора непосредственно на машине жертвы позволяет избежать детектирования по статичным хэшам файлов. Эксплуатация уязвимости в WinRAR для подмены системного файла и последующей активации через документ Word представляет собой сложный многоэтапный вектор атаки. Успех этих методов зависит от конкретной среды и привычек пользователя, что может указывать на предварительную разведку, проведенную злоумышленниками, либо на то, что данные образцы находятся на стадии тестирования новой методики. Вне зависимости от целей, развернутый бэкдор служит точкой входа для доставки более серьезных вредоносных программ.
Для защиты от подобных угроз эксперты рекомендуют проявлять осторожность при открытии вложений из непроверенных источников, не запускать файлы с подозрительными или сенсационными названиями, регулярно обновлять программное обеспечение и операционные системы, включая установку последних версий WinRAR, и своевременно создавать резервные копии важных данных.
Индикаторы компрометации
Domains
- esanojinjasvc.com
- keeferbeautytrends.com
- koliwooclients.com
- www.keeferbeautytrends.com
URLs
- https://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drdxcsv34.php
- https://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxbds23.php
- https://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxcvg45.php
- https://teamlogin.esanojinjasvc.com/teamesano/drivers/teamidcrz/
- https://teamlogin.esanojinjasvc.com/teamesano/drivers/teamsid.php
- https://teamlogin.esanojinjasvc.com/teamesano/drivers/teamzid.php
MD5
- 18164f7b3d320a79b6db634f718a1095
- 4bedd8e2b66cc7d64b293493ef5b8942
- b165b489c5f8c4e136364664502d68f1
- f16f2e4317c37085cad630d41001f7c3
- f6f2fdc38cd61d8d9e8cd35244585967
