Bangladeş’te bulunan askeri kuruluşlar, Bitter olarak izlenen gelişmiş bir kalıcı tehdit tarafından sürekli siber saldırıların alıcı tarafında olmaya devam ediyor.
Siber güvenlik firması SECUINFRA, “Kötü amaçlı belge dosyaları ve ara kötü amaçlı yazılım aşamaları aracılığıyla, tehdit aktörleri Uzaktan Erişim Truva Atları dağıtarak casusluk yapıyor” söz konusu 5 Temmuz’da yayınlanan yeni bir yazıda.
Merkezi Berlin’de bulunan şirketin bulguları, Cisco Talos’un Mayıs ayında yayınladığı ve grubun Bangladeşli hükümet kuruluşlarına arka kapı adı verilen bir arka kapıyla saldırmayı hedeflemedeki genişlemesini açıklayan önceki bir raporuna dayanıyor. ZxxZ.
APT-C-08 ve T-APT-17 kod adları altında da izlenen Bitter’in aktif olduğu söyleniyor. en azından 2013 sonundan beri BitterRAT ve ArtraDownloader gibi farklı araçları kullanarak Çin, Pakistan ve Suudi Arabistan’ı hedefleme konusunda bir geçmişe sahip.
SECUINFRA tarafından detaylandırılan en son saldırı zincirinin, Mayıs 2022’nin ortalarında gerçekleştirildiğine inanılıyor ve muhtemelen, açıldığında Microsoft Denklem Düzenleyicisi’nden yararlanan bir hedef odaklı kimlik avı e-postası aracılığıyla dağıtılan, silahlı bir Excel belgesinden kaynaklanıyor (CVE-2018-0798) bir sonraki aşama ikili dosyasını uzak bir sunucudan bırakmak için.
İndirilen yük olarak adlandırılan ZxxZ (veya Qi-Anxin Tehdit İstihbarat Merkezi tarafından MuuyDownloader), Visual C++’da uygulanır ve düşmanın ek kötü amaçlı yazılım dağıtmasına izin veren ikinci aşama bir implant olarak işlev görür.
Kötü amaçlı yazılımdaki en dikkate değer değişiklik, komut ve kontrol (C2) sunucusuna bilgi gönderirken kullanılan “ZxxZ” ayırıcısının bir alt çizgi lehine bırakılmasıdır, bu da grubun kaynak kodunda etkin bir şekilde değişiklik yaptığını düşündürür. radarın altında.
Tehdit aktörü tarafından kampanyalarında da kullanılan, .NET tabanlı bir RAT olan Almond RAT adlı bir arka kapıdır. ilk gün ışığına çıktı Mayıs 2022’de ve temel veri toplama işlevselliği ve isteğe bağlı komutları yürütme yeteneği sunar. Ek olarak, implant, tespitten kaçınmak ve analizi engellemek için şaşırtma ve dizi şifreleme teknikleri kullanır.
Araştırmacılar, “Badem RAT’lerin ana amaçları dosya sistemi keşfi, veri sızdırma ve daha fazla araç yükleme/kalıcılık sağlamanın bir yolu gibi görünüyor” dedi. “Araçların tasarımı, hızlı bir şekilde değiştirilebilecek ve mevcut saldırı senaryosuna uyarlanabilecek şekilde düzenlenmiş gibi görünüyor.”