Un actor de amenazas centrado en el espionaje conocido por apuntar a China, Pakistán y Arabia Saudita se ha expandido para fijar su mirada en las organizaciones gubernamentales de Bangladesh como parte de una campaña en curso que comenzó en agosto de 2021.
La firma de seguridad cibernética Cisco Talos atribuyó la actividad con confianza moderada a un grupo de piratas informáticos denominado el APT amargo basado en superposiciones en la infraestructura de comando y control (C2) con la de campañas anteriores montadas por el mismo actor.
«Bangladesh se ajusta al perfil que hemos definido para este actor de amenazas, que anteriormente se dirigía a países del sudeste asiático, incluidos PorcelanaPakistán y Arabia Saudita», Vitor Ventura, investigador principal de seguridad en Cisco Talos, tantiguo Las noticias de los hackers.
«Y ahora, en esta última campaña, han ampliado su alcance a Bangladesh. Cualquier país nuevo en el sureste de Asia que sea objetivo de Bitter APT no debería ser una sorpresa».
Se sospecha que Bitter (también conocido como APT-C-08 o T-APT-17) es un grupo de piratería del sur de Asia motivado principalmente por la recopilación de inteligencia, una operación que se facilita mediante malware como BitterRAT, ArtraDownloader y AndroRAT. Los objetivos destacados incluyen los sectores de energía, ingeniería y gobierno.
Los primeros ataques que distribuyeron la versión móvil de BitterRAT se remontan a septiembre de 2014, y el actor tenía un historial de aprovechar fallas de día cero: CVE-2021-1732 y CVE-2021-28310, en su beneficio y lograr sus objetivos contradictorios.
La última campaña, dirigida a una entidad de élite del gobierno de Bangladesh, implica el envío de correos electrónicos de phishing dirigido a oficiales de alto rango de la Unidad del Batallón de Acción Rápida de la policía de Bangladesh (RAB).
Como suele observarse en otros ataques de ingeniería social de este tipo, las misivas están diseñadas para atraer a los destinatarios a abrir un documento RTF armado o una hoja de cálculo de Microsoft Excel que explota fallas previamente conocidas en el software para implementar un nuevo troyano; apodado «ZxxZ».
ZxxZ, llamado así por un separador utilizado por el malware al enviar información al servidor C2, es un ejecutable de Windows de 32 bits compilado en Visual C++.
«El troyano se hace pasar por un servicio de actualización de seguridad de Windows y permite que el
actor malicioso para realizar la ejecución remota de código, lo que permite al atacante realizar cualquier otra actividad mediante la instalación de otras herramientas», explicaron los investigadores.
Mientras que el documento RTF malicioso explota una vulnerabilidad de corrupción de memoria en el Editor de ecuaciones de Microsoft Office (CVE-2017-11882), el archivo de Excel abusa de dos fallas de ejecución remota de código, CVE-2018-0798 y CVE-2018-0802para activar la secuencia de infección.
«Los actores a menudo cambian sus herramientas para evitar la detección o la atribución, esto es parte del ciclo de vida de un actor de amenazas que muestra su capacidad y determinación», dijo Ventura.