Çin, Pakistan ve Suudi Arabistan’ı hedef aldığı bilinen casusluk odaklı bir tehdit aktörü, Ağustos 2021’de başlayan devam eden bir kampanyanın parçası olarak gözünü Bangladeşli hükümet kuruluşlarına dikmek için genişledi.
Siber güvenlik firması Cisco Talos, etkinliği orta düzeyde güvenle, acı APT komuta ve kontrol (C2) altyapısındaki örtüşmelere dayalı olarak, aynı aktör tarafından yürütülen önceki kampanyalarınkiyle.
“Bangladeş, daha önce Güneydoğu Asya ülkelerini hedef alan bu tehdit aktörü için tanımladığımız profile uyuyor. ÇinPakistan ve Suudi Arabistan,” Vitor Ventura, EMEA ve Asya için Cisco Talos’ta lider güvenlik araştırmacısı, söylenmiş Hacker Haberleri.
“Ve şimdi, bu son kampanyada, erişimlerini Bangladeş’e kadar genişlettiler. Güneydoğu Asya’daki herhangi bir yeni ülkenin Bitter APT tarafından hedef alınması sürpriz olmamalı.”
Bitter’in (diğer adıyla APT-C-08 veya T-APT-17), BitterRAT, ArtraDownloader ve AndroRAT gibi kötü amaçlı yazılımlar aracılığıyla kolaylaştırılan bir operasyon olan istihbarat toplamayla motive olmuş bir Güney Asya bilgisayar korsanlığı grubu olduğundan şüpheleniliyor. Öne çıkan hedefler arasında enerji, mühendislik ve devlet sektörleri yer alıyor.
İlk saldırılar, BitterRAT’ın mobil sürümünün Eylül 2014’e kadar uzanmasıydı ve aktörün sıfır gün kusurlarından yararlanma geçmişi vardı — CVE-2021-1732 ve CVE-2021-28310 — avantajına ve düşmanca hedeflerine ulaşmasına.
Bangladeş hükümetinin seçkin bir kuruluşunu hedef alan son kampanya, Bangladeş polisinin Hızlı Eylem Taburu Biriminin (RAB) üst düzey memurlarına hedef odaklı kimlik avı e-postaları göndermeyi içeriyor.
Bu tür diğer sosyal mühendislik saldırılarında tipik olarak gözlemlendiği gibi, mesajlar alıcıları yeni bir truva atı dağıtmak için yazılımda önceden bilinen kusurlardan yararlanan silahlı bir RTF belgesini veya bir Microsoft Excel elektronik tablosunu açmaya çekmek için tasarlanmıştır; “ZxxZ” olarak adlandırılan
Kötü amaçlı yazılımın C2 sunucusuna bilgi gönderirken kullandığı bir ayırıcıdan sonra adlandırılan ZxxZ, Visual C++ ile derlenmiş 32 bit Windows yürütülebilir dosyasıdır.
Araştırmacılar, “Truva atı, bir Windows Güvenlik güncelleme hizmeti gibi görünüyor ve kötü niyetli aktörün uzaktan kod yürütmesine izin vererek, saldırganın başka araçlar yükleyerek diğer etkinlikleri gerçekleştirmesine izin veriyor” dedi.
Kötü amaçlı RTF belgesi, Microsoft Office’in Denklem Düzenleyicisi’ndeki (CVE-2017-11882) bir bellek bozulması güvenlik açığından yararlanırken, Excel dosyası iki uzaktan kod yürütme kusurunu kötüye kullanıyor, CVE-2018-0798 ve CVE-2018-0802enfeksiyon dizisini etkinleştirmek için.
Ventura, “Aktörler genellikle tespit veya atıflardan kaçınmak için araçlarını değiştirir, bu, bir tehdit aktörünün kapasitesini ve kararlılığını gösteren yaşam döngüsünün bir parçasıdır.” Dedi.