Проправительственная южноазиатская АРТ, получившая название Bi | SecAtor

Проправительственная южноазиатская АРТ, получившая название Bitter нацелилась на сектор ядерной энергетики КНР.

Специалисты Intezer сообщают, что APT действует как минимум с 2021 года и известна своими нападениями на энергетические и правительственные организации в Бангладеш, Китае, Пакистане и Саудовской Аравии.

Злоумышленники используют эксплойты для Microsoft Office через Excel, файлы справки CHM и установщики MSI.

В последней шпионской компании злоумышленники использовали обновленную полезную нагрузку для первого этапа и добавили дополнительный сценарий для запутывания, использовав дополнительные приманки в социальной инженерии.

Bitter был нацелен на получателей из атомно-энергетической отрасли Китая, разослав не менее семи фишинговых электронных писем, выдающих себя за посольство Кыргызстана в Китае, с приглашением присоединиться к конференциям по соответствующей тематике.

Получателей пытались побудить к загрузке и открытию прикрепленного архива RAR с пейлоадом в CHM или Excel для обеспечения устойчивости и получения дополнительных вредоносных программ с C2.

Полезная нагрузка в Excel содержала эксплойт Equation Editor, предназначенная для установки процедуры загрузки EXE-файла для следующего этапа эксплуатации.

Файлы CHM, в свою очередь, использовались для простого выполнения произвольного кода с минимальным взаимодействием с пользователем, даже если не установлена уязвимая версия Microsoft Office.

Один из выявленных сценариев создавал запланированную задачу для выполнения удаленной полезной нагрузки MSI с помощью msiexec.

Примечательно, что в ходе расследовании цепочки атак Intezer увидел только пустые файлы MSI, которые вероятно использовались злоумышленниками для разведки и которые в последующем могли быть заменены реальной полезной нагрузкой, если цель оказалась интересной.

Также было замечено, что вторая версия файла CHM выполняла аналогичные действия с использованием закодированной команды PowerShell.

Специалисты отмечают, что АРТ Bitter, не слишком сильно изменила свою тактику и предполагается, что полезная нагрузка будет аналогичной, что наблюдалась в 2021 году, выполняя модуль загрузчика для возможных кейлоггеров, инструментов удаленного доступа и грабберов информации с диска или браузера.