Τον περασμένο μήνα, η APT ομάδα Bitter από τη Νότια Ασία στόχευσε μια τουρκική οργάνωση στον αμυντικό κλάδο για να παραδώσει δύο malware C++, που παρακολουθούνται ως WmRAT και MiyaRAT.
«Η αλυσίδα επίθεσης χρησιμοποίησε εναλλακτικές ροές δεδομένων σε ένα αρχείο RAR για να παραδώσει ένα shortcut (LNK) file, που δημιούργησε ένα scheduled task στο μηχάνημα-στόχο για να κατεβάσει περαιτέρω payloads», είπαν οι ερευνητές της Proofpoint, Nick Attfield, Konstantin Klinger, Pim Trouerbach και David Galazin.
Η Proofpoint παρακολουθεί την ομάδα με το όνομα TA397. Οι Ασιάτες hackers είναι ενεργοί τουλάχιστον από το 2013 και είναι, επίσης, γνωστοί ως APT-C-08, APT-Q-37, Hazy Tiger και Orange Yali.
Στο παρελθόν, η ομάδα είχε επιτεθεί σε στόχους στην Κίνα, το Πακιστάν, την Ινδία, τη Σαουδική Αραβία και το Μπαγκλαντές, μολύνοντάς τους με κακόβουλο λογισμικό όπως το BitterRAT, το ArtraDownloader και το ZxxZ.
Xάκερ παρακάμπτουν την προστασία phishing του iMessage
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Η ομάδα Bitter έχει επίσης συνδεθεί με επιθέσεις που παρέδιδαν το Android malware PWNDROID2 και το Dracarys, σύμφωνα με αναφορές των BlackBerry και Meta.
Δείτε επίσης: Το HiatusRAT στοχεύει κάμερες web και DVR
Νωρίτερα αυτόν τον Μάρτιο, η εταιρεία κυβερνοασφάλειας NSFOCUS αποκάλυψε ότι μια ανώνυμη κινεζική κυβερνητική υπηρεσία υπέστη επίθεση spear-phishing από την Bitter. Η επίθεση έλαβε χώρα την 1η Φεβρουαρίου 2024 και παρέδωσε ένα trojan για κλοπή δεδομένων και απομακρυσμένο έλεγχο συσκευών.
Στην τελευταία αλυσίδα επιθέσεων, που τεκμηριώθηκε από την Proofpoint, οι hackers χρησιμοποιούσαν ως δέλεαρ κάποια δημόσια έργα υποδομής στη Μαδαγασκάρη και προσπαθούσαν να πείσουν τα υποψήφια θύματα να ανοίξουν ένα κακόβουλο συνημμένο αρχείο RAR.
Εάν το θύμα ανοίξει το αρχείο LNK, μία από τις ροές δεδομένων περιέχει κώδικα για την ανάκτηση ενός αρχείου-δολώματος που φιλοξενείται στον ιστότοπο της Παγκόσμιας Τράπεζας. Η δεύτερη περιλαμβάνει ένα PowerShell script με κωδικοποίηση Base64 για να ανοίξει το έγγραφο-δόλωμα και να ρυθμίσει ένα scheduled task, υπεύθυνο για την ανάκτηση των payloads τελικού σταδίου από το domain jacknwoods[.]com.
Τα WmRAT και MiyaRAT διαθέτουν τυπικές δυνατότητες ενός remote access trojan (RAT), που επιτρέπουν τη συλλογή πληροφοριών κεντρικού υπολογιστή, τη μεταφόρτωση και λήψη αρχείων, τη λήψη screenshots, τη λήψη δεδομένων γεωγραφικής τοποθεσίας και την εκτέλεση εντολών μέσω cmd.exe ή PowerShell.
Δείτε επίσης: Επιθέσεις RAT: Τι είναι και πώς μπορείτε να προστατευτείτε
Πιστεύεται ότι η χρήση του MiyaRAT προορίζεται για σημαντικούς στόχους, καθώς φαίνεται να έχει αναπτυχθεί επιλεκτικά σε λίγες μόνο καμπάνιες.
«Αυτές οι εκστρατείες είναι σχεδόν σίγουρα προσπάθειες συλλογής πληροφοριών για την υποστήριξη των συμφερόντων μιας κυβέρνησης της Νότιας Ασίας», είπε η Proofpoint. «Χρησιμοποιούν επίμονα scheduled tasks για να επικοινωνήσουν με staging domains και να αναπτύξουν κακόβουλα backdoors σε οργανισμούς-στόχους, με σκοπό να αποκτήσουν πρόσβαση σε προνομιακές πληροφορίες και πνευματική ιδιοκτησία».
Προστασία από RAT malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα RAT malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις, καθώς και τη δυνατότητα ανίχνευσης και απομάκρυνσης RAT (π.χ. WmRAT και MiyaRAT).
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά RAT malware.
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά RAT malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Δείτε επίσης: Remcos RAT: Βρέθηκαν δύο νέες επικίνδυνες παραλλαγές του malware
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις RAT (π.χ. WmRAT και MiyaRAT). Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα RAT malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
πηγή: thehackernews.com