Onderzoekers beschrijven de evoluerende tactieken van Bitter Apt naarmate de geografische scope zich uitbreidt

Cyberbeveiliging
Bitter Hacker Group

De dreigingsacteur die bekend staat als Bitter is beoordeeld als een door de staat gesteunde hackgroep die belast is met het verzamelen van inlichtingen die aansluit bij de belangen van de Indiase regering.

Dat is volgens nieuwe bevindingen die gezamenlijk worden gepubliceerd door Proofpoint en Threatray in een uitputtende tweedelige analyse.

“Hun diverse toolset toont consistente coderingspatronen in malware -families, met name bij het verzamelen van systeeminformatie en stringverdachte”, zeiden onderzoekers Abdallah Elshinbary, Jonas Wagner, Nick Attfield en Konstantin Klinger.

Bitter, ook bekend als APT-C-08, APT-Q-37, wazige tijger, oranje Yali, T-Apt-17 en TA397, heeft een geschiedenis van focussen voornamelijk op Zuid-Aziatische entiteiten, met geselecteerde intrusies die ook gericht zijn op China, Saoedi-Arabië en Zuid-Amerika.

In december 2024 is het bewijs naar voren gekomen van de targeting van de dreigingsacteur op Turkije met behulp van malwarefamilies zoals WMRAT en Miyarat, wat duidt op een geleidelijke geografische expansie.

Proofpoint stelt dat bittere vaak een “buitengewoon kleine subset van doelen” stelt, zei dat de aanvallen gericht zijn op regeringen, diplomatieke entiteiten en defensieorganisaties om inlichtingen over buitenlands beleid of actuele zaken mogelijk te maken.

Aanvalketens die door de groep zijn gemonteerd, benutten meestal gebruik van speer-phishing-e-mails, met de berichten verzonden van providers zoals 163 (.) Com, 126 (.) Com en ProtonMail, evenals gecompromitteerde verslagen geassocieerd met de regeringen van Pakistan, Bangladesh en Madagascar.

De dreigingsacteur is ook waargenomen als overheids- en diplomatieke entiteiten uit China, Madagascar, Mauritius en Zuid-Korea in deze campagnes om ontvangers te lokken in malware-geregen bijlagen die de inzet van malware veroorzaken.

“Op basis van de gebruikte inhoud en de gebruikte decoydocumenten is het duidelijk dat TA397 geen moeite heeft met vermoming als regeringen van andere landen, waaronder Indiase bondgenoten,” zei het bedrijfsbeveiligingsbedrijf.

“Hoewel de doelen van TA397 in deze campagnes Turkse en Chinese entiteiten waren met een aanwezigheid in Europa, geeft het aan dat de groep waarschijnlijk kennis en zichtbaarheid heeft in de legitieme zaken van Madagascar en Mauritius en het materiaal gebruikt in Spearphishing -operaties.”

Bovendien is gebleken dat Bitter hands-on-keyboard-activiteiten deelneemt in twee verschillende campagnes die gericht zijn op overheidsorganisaties om verdere opsommingsactiviteiten uit te voeren op de beoogde gastheren en extra payloads te laten vallen zoals Kugelblitz en Bdarkrat, A .NET Trojan die voor het eerst werd gedocumenteerd in 2019.

Het beschikt over standaard externe toegang Trojan -mogelijkheden zoals het verzamelen van systeeminformatie, het uitvoeren van shell -opdrachten, het downloaden van bestanden en het beheren van bestanden op de gecompromitteerde host.

Sommige van de andere bekende tools in het arsenaal zijn hieronder –

  • ArtradownLoadereen downloader geschreven in C ++ die systeeminformatie verzamelt en HTTP -aanvragen gebruikt om een ​​extern bestand te downloaden en uit te voeren
  • Keyloggereen C ++ -module die in verschillende campagnes wordt gebruikt om toetsaanslagen en klembordinhoud op te nemen
  • WSCSPL -achterdeureen achterdeur die wordt geleverd via ArtradownLoader en ondersteunt opdrachten om machine -informatie te krijgen, externe instructies uit te voeren en bestanden te downloaden en uit te voeren
  • Muuydownloader (aka zxxz), een trojan waarmee externe code -uitvoering van payloads kan worden ontvangen van een externe server
  • AmandelratA .NET Trojan die fundamentele functionaliteit van gegevensverzameling biedt en de mogelijkheid om willekeurige opdrachten uit te voeren en bestanden over te dragen
  • Orpcbackdooreen achterdeur die het RPC-protocol gebruikt om te communiceren met een command-and-control (C2) -server en voert operator-uitgegeven instructies uit
  • Kiwistealereen stealer die op zoek is naar bestanden die overeenkomen met een vooraf gedefinieerde reeks extensies, is kleiner dan 50 MB en is het afgelopen jaar gewijzigd en exfiltreert ze naar een externe server
  • Kugelblitzeen shellcode -lader die wordt gebruikt om het Havoc C2 -framework te implementeren

Het is vermeldenswaard dat ORPCBackdoor door het Bekende SEC 404-team is toegeschreven aan een dreigingsacteur genaamd Mysterious Elephant, die volgens haar overlapt met andere India-afgestemde dreigingsclusters, waaronder Sidewinder, Patchwork, Confucius en Bitter.

Analyse van de hands-on-keyboards-activiteit benadrukt een “maandag tot vrijdag werkurenschema in Indian Standard Timezone (IST)”, dat ook consistent is met de tijd waarin de registraties van de WHOIS-domein en de uitgiften van het TLS-certificaat plaatsvinden.

“TA397 is een spionagegerichte dreigingsacteur die zeer waarschijnlijk werkt namens een Indiase inlichtingenorganisatie,” zeiden de onderzoekers. “Er is een duidelijke indicatie dat de meeste infrastructuurgerelateerde activiteit plaatsvindt tijdens standaard kantooruren in de IST-tijdzone.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google -berichten krijgt een nieuwe verflaag – in het tempo van een slakken

De nieuwe NAS -opstelling van Synology kan de enige opslagoplossing zijn die je ooit nodig hebt

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]