Πρόσφατα, η κακόβουλη ομάδα Bitter APT εντοπίστηκε να προσπαθεί να διεισδύσει στον τομέα πυρηνικής ενέργειας της Κίνας μέσω κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing που εγκαθιστούσαν προγράμματα λήψης κακόβουλου λογισμικού στις συσκευές των ανυποψίαστων θυμάτων.
Δείτε επίσης: Το BlackGuard stealer στοχεύει τώρα 57 crypto wallets, extensions
Η Bitter είναι μια διαβόητη ομάδα hacking, γνωστή για τη διείσδυση σε οργανισμούς της ενέργειας, της μηχανικής και των κυβερνητικών βιομηχανιών σε όλη την περιοχή της Ασίας και του Ειρηνικού.
Τον Μάιο του 2022, μια συμμορία εγκληματιών του κυβερνοχώρου γνωστή ως Bitter APT παρατηρήθηκε να στέλνει spear phishing email με συνημμένα έγγραφα XLSX που έφεραν κακόβουλο κώδικα για να μολύνονται θύματα στη Νοτιοανατολική Ασία. Αυτό το κακόβουλο λογισμικό αναγνωρίστηκε ως “ZxxZ”.
Δείτε επίσης: Phishing εκστρατεία εκμεταλλεύεται το SharePoint για να στοχεύσει χρήστες σε ΗΠΑ και Ευρώπη
Τον Αύγουστο του 2022, η Meta αποκάλυψε ότι η Bitter APT χρησιμοποιούσε ένα νέο εργαλείο κατασκοπευτικού λογισμικού Android με την ονομασία “Dracarys” για να στοχεύσει θύματα στη Νέα Ζηλανδία, την Ινδία, το Πακιστάν και το Ηνωμένο Βασίλειο.
Οι αναλυτές ασφαλείας της Intezer εντόπισαν αυτή την απόπειρα hacking και, με βάση τις τεχνικές και τις τακτικές που χρησιμοποιήθηκαν, τη συνέδεσαν με την Bitter APT – μια ομάδα που είναι γνωστό ότι έχει επανειλημμένα χρησιμοποιήσει παρόμοιες στρατηγικές σε προηγούμενες επιθέσεις.
Στοχεύοντας το πυρηνικό πεδίο της Κίνας
Η Intezer έχει τώρα αποκαλύψει μια νέα εκστρατεία όπου η Bitter στέλνει email υποδυόμενη την Πρεσβεία της Κιργιζίας στο Πεκίνο σε πολλές κινεζικές εταιρείες πυρηνικής ενέργειας και σχετικούς ακαδημαϊκούς.
Προσποιούμενο ότι είναι πρόσκληση από την Πρεσβεία της Κιργιζίας, τον Διεθνή Οργανισμό Ατομικής Ενέργειας (ΔΟΑΕ) και το Ινστιτούτο Διεθνών Σπουδών της Κίνας (CIIS) για ένα συνέδριο για την πυρηνική ενέργεια, αυτό το email είναι βέβαιο ότι θα τραβήξει την προσοχή.
Η δέσμευση της Bitter APT στην αυθεντικότητα είναι αξιοσημείωτη, όπως αποδεικνύεται από το γεγονός ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου τους υπογράφονται με ένα γνήσιο όνομα που ανήκει σε έναν υπάλληλο του Υπουργείου Εξωτερικών της Κιργιζίας. Αυτή η προσοχή στη λεπτομέρεια παρέχει περαιτέρω νομιμότητα και αξιοπιστία στις επικοινωνίες τους.
Οι παραλήπτες παρασύρονται να κατεβάσουν το συνημμένο αρχείο RAR του ηλεκτρονικού ταχυδρομείου, το οποίο υποτίθεται ότι περιέχει μια κάρτα πρόσκλησης για ένα συνέδριο. Ωστόσο, στην πραγματικότητα αυτό το συνημμένο κρύβει είτε ένα επιβλαβές αρχείο Microsoft Compiled HTML Help (CHM) είτε ένα ύπουλο έγγραφο Excel.
Δείτε επίσης: Hackers στοχεύουν παρόχους τηλεπικοινωνιών της Μέσης Ανατολής
Drop των payloads
Γενικά, η Bitter APT χρησιμοποιεί ένα ωφέλιμο φορτίο CHM για να δώσει εντολές που θα δημιουργήσουν προγραμματισμένες εργασίες στο παραβιασμένο σύστημα και θα κατεβάσουν τα επόμενα στάδια.
Εκμεταλλευόμενοι μια αξιόλογη ευπάθεια του Equation Editor, όταν ανοίγει το κακόβουλο έγγραφο Excel, προστίθενται προγραμματισμένες εργασίες σε ένα συνημμένο αρχείο RAR που έχει ληφθεί.
Η Intezer υποδεικνύει ότι ο απειλητικός παράγοντας επιλέγει πιθανώς τα ωφέλιμα φορτία CHM λόγω της απλής διαδικασίας εγκατάστασής τους, παρακάμπτοντας τη στατική ανάλυση μέσω της συμπίεσης LZX και απαιτώντας ελάχιστη αλληλεπίδραση από τον χρήστη.
Το payload δεύτερου σταδίου είναι ένα αρχείο MSI ή PowerShell εάν χρησιμοποιείται ωφέλιμο φορτίο CHM ή ένα αρχείο EXE στην περίπτωση του ωφέλιμου φορτίου εγγράφων Excel.
Για να αποφύγουν την ανακάλυψη και την έκθεση, τα ωφέλιμα φορτία του δεύτερου σταδίου είναι κενά. Ωστόσο, όταν τα ωφέλιμα φορτία του πρώτου σταδίου στέλνουν πληροφορίες σχετικά με τη συσκευή που έχει διεισδύσει στον διακομιστή εντολών και ελέγχου του επιτιθέμενου, αυτός θα διακρίνει αν πρόκειται για ωφέλιμο στόχο πριν παραδώσει κακόβουλο λογισμικό στο παραβιασμένο σύστημα.
Οι ερευνητές της Intezer δεν μπόρεσαν να βρουν τα ωφέλιμα φορτία που είχαν παραδοθεί μέσω αυτής της εκστρατείας, αλλά υπέθεσαν ότι μπορεί να περιλάμβαναν keyloggers, RATs (εργαλεία απομακρυσμένης πρόσβασης) και info-stealing malware.
Επικίνδυνα attachments
Τα αρχεία CHM χρησιμοποιούνταν στο παρελθόν για το software documentation, ωστόσο, δεν χρησιμοποιούνται πλέον ευρέως – ούτε καν στην αλληλογραφία μέσω ηλεκτρονικού ταχυδρομείου.
Τα άτομα που λαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου θα πρέπει να είναι ιδιαίτερα προσεκτικά όταν βρίσκουν αρχεία CHM σε συνημμένα αρχεία, καθώς αυτά ενδέχεται να περιέχουν κακόβουλο υλικό.
Τελικά, τα αρχεία πρέπει να προσεγγίζονται με προσοχή, καθώς είναι ικανά να αποφεύγουν τις σαρώσεις κατά των ιών, αυξάνοντας έτσι σημαντικά τις πιθανότητες να περιέχουν κακόβουλο περιεχόμενο.
Πηγή πληροφοριών: bleepingcomputer.com
