Ориентированная на шпионаж и известная своими действиями против Китая, Пакистана и Саудовской Аравии хакерская группировка начала атаковать правительственные организации Бангладеш в рамках продолжающейся кампании, начавшейся в августе 2021 года.
Компания по кибербезопасности Cisco Talos приписывает эту деятельность хакерской группе, получившей название Bitter, на основании совпадений в CnC-инфраструктуре с предыдущими кампаниями, проводимыми теми же злоумышленниками.
«Атаки в Бангладеш соответствуют профилю, который мы определили для этой группы, ранее нацеленной на страны Юго-Восточной Азии, включая Китай, Пакистан и Саудовскую Аравию» - сообщил изданию The Hacker News Витор Вентура, ведущий исследователь безопасности в Cisco Talos.
«А теперь, в этой последней кампании, они расширили свой охват до Бангладеш. Любая новая страна в Юго-Восточной Азии, ставшая мишенью Bitter, уже не вызывает удивления».
Bitter (она же APT-C-08 или T-APT-17), предположительно, является южноазиатской хакерской группировкой, мотивированной, в первую очередь, сбором разведданных, что облегчается с помощью таких вредоносных программ, как BitterRAT, ArtraDownloader и AndroRAT. Среди основных целей - энергетика, машиностроение и правительственный сектор.
Самые ранние атаки с распространением мобильной версии BitterRAT датируются сентябрем 2014 года, при этом у группы есть история использования уязвимостей нулевого дня - CVE-2021-1732 и CVE-2021-28310 - в своих интересах и для достижения своих целей.
Последняя кампания, направленная на элитную структуру в правительстве Бангладеш, включает рассылку фишинговых писем высокопоставленным офицерам подразделения батальона быстрого реагирования полиции Бангладеш.
Как и в других подобных атаках с применением социальной инженерии, письма предназначены для того, чтобы заманить получателей открыть RTF-документ или электронную таблицу Microsoft Excel, которые используют ранее известные уязвимости в программном обеспечении для внедрения нового трояна, получившего название «ZxxZ».
ZxxZ, названный так в честь разделителя, используемого вредоносной программой при отправке информации на CnC-сервер, представляет собой 32-битный исполняемый файл для Windows, скомпилированный в Visual C++.
«Троян маскируется под службу обновления Windows Security и позволяет злоумышленнику производить удаленное выполнение кода, что открывает простор для любых других действий и установки других инструментов» - пояснили исследователи.
В то время как вредоносный RTF-документ использует уязвимость повреждения памяти в редакторе уравнений Microsoft Office (CVE-2017-11882), таблица Excel использует две уязвимости удаленного выполнения кода, CVE-2018-0798 и CVE-2018-0802, для активации последовательности заражения.
«Атакующие часто меняют свои инструменты, чтобы избежать обнаружения или атрибуции, это часть жизненного цикла киберпреступника, демонстрирующего свои возможности и решительность» - заявил Вентура.
Источник: https://is-systems.org