Een vermoedelijke Zuid-Aziatische cyberspionagedreigingsgroep, bekend als Bitter richtte zich in november 2024 op een organisatie uit de Turkse defensiesector om twee C++-malwarefamilies te leveren, gevolgd als WmRAT en MiyaRAT.
“De aanvalsketen gebruikte alternatieve datastromen in een RAR-archief om een snelkoppelingsbestand (LNK) af te leveren dat een geplande taak op de doelmachine creëerde om verdere ladingen op te halen”, aldus Proofpoint-onderzoekers Nick Attfield, Konstantin Klinger, Pim Trouerbach en David Galazin. zei in een rapport gedeeld met The Hacker News.
Het bedrijfsbeveiligingsbedrijf volgt de bedreigingsactor onder de naam TA397. De tegenstander staat bekend als actief sinds minstens 2013 en wordt ook wel APT-C-08, APT-Q-37, Hazy Tiger en Orange Yali genoemd.
Eerdere aanvallen uitgevoerd door de hackgroep waren gericht op entiteiten in China, Pakistan, India, Saoedi-Arabië en Bangladesh met malware zoals BitterRAT, ArtraDownloader en ZxxZ, wat wijst op een sterke Aziatische focus.
Bitter is ook in verband gebracht met cyberaanvallen die hebben geleid tot de inzet van Android-malwaresoorten zoals PWNDROID2 en Dracarys, volgens rapporten van BlackBerry en Meta in respectievelijk 2019 en 2022.
Eerder deze maand onthulde cyberbeveiligingsbedrijf NSFOCUS dat een niet bij naam genoemde Chinese overheidsinstantie op 1 februari 2024 werd onderworpen aan een spearphishing-aanval door Bitter, die een trojan opleverde die in staat was tot gegevensdiefstal en afstandsbediening.
Bij de laatste door Proofpoint gedocumenteerde aanvalsketen gebruikte de bedreigingsacteur een lokmiddel over openbare infrastructuurprojecten in Madagaskar om potentiële slachtoffers te verleiden de RAR-archiefbijlage met boobytraps te lanceren.
In het RAR-archief bevond zich een lokbestand over een openbaar initiatief van de Wereldbank in Madagaskar voor de ontwikkeling van infrastructuur, een Windows-snelkoppelingsbestand dat zich voordeed als een pdf, en een verborgen alternatief datastroombestand (ADS) met PowerShell-code.
ADS verwijst naar een functie die is geïntroduceerd in het New Technology File System (NTFS) dat door Windows wordt gebruikt om gegevensstromen aan een bestand toe te voegen en te openen. Het kan worden gebruikt om extra gegevens naar een bestand te smokkelen zonder de grootte of het uiterlijk ervan te beïnvloeden, waardoor aanvallers een slinkse manier krijgen om de aanwezigheid van een kwaadaardige lading in het bestandsrecord van een onschadelijk bestand te verbergen.
Mocht het slachtoffer het LNK-bestand starten, dan bevat een van de datastromen code om een lokbestand op te halen dat op de website van de Wereldbank wordt gehost, terwijl de tweede ADS een Base64-gecodeerd PowerShell-script bevat om het lokdocument te openen en een geplande taak op te zetten. voor het ophalen van de payloads van de laatste fase van het domein jacknwoods(.)com.
Zowel WmRAT als MiyaRAT, zoals eerder beschreven door QiAnXin, worden geleverd met standaard Remote Access Trojan (RAT)-mogelijkheden, waardoor de malware hostinformatie kan verzamelen, bestanden kan uploaden of downloaden, screenshots kan maken, geolocatiegegevens kan opvragen, bestanden en mappen kan opsommen en willekeurige acties kan uitvoeren. opdrachten via cmd.exe of PowerShell.
Er wordt aangenomen dat het gebruik van MiyaRAT gereserveerd is voor waardevolle doelen, omdat het slechts in een handvol campagnes selectief is ingezet.
“Deze campagnes zijn vrijwel zeker pogingen om inlichtingen te verzamelen ter ondersteuning van de belangen van een Zuid-Aziatische regering”, aldus Proofpoint. “Ze maken voortdurend gebruik van geplande taken om te communiceren met hun staging-domeinen om kwaadaardige achterdeurtjes in doelorganisaties in te zetten, met als doel toegang te krijgen tot bevoorrechte informatie en intellectueel eigendom.”