Обновление MiyaRAT 5.0: эволюция вредоносных инструментов группы Bitter
В мае 2025 года компания Proofpoint представила новую версию вредоносного программного обеспечения MiyaRAT, обозначенную как версия 5.0. Этот вариант сохраняет ключевые функции предыдущих релизов, однако отличается обновлённым алгоритмом вычитания символов для расшифровки строк, при этом оставаясь зависимым от жёстко зашитого двоичного ключа. Данное обновление отражает постепенный переход группы Bitter от простых загрузчиков к сложным троянам удалённого доступа (RATs), что демонстрирует расширение их возможностей за последние годы.
Группа Bitter и её вредоносные инструменты
Группа Bitter, признанная кибершпионской структурой, использует целый арсенал вредоносных программ с согласованными шаблонами кодирования и единым подходом к разработке. В их «техническом наборе» представлены следующие инструменты:
- ArtraDownloader — обеспечивает постоянство, копируя себя по заранее определённым путям и изменяя ключи реестра.
- BDarkRAT — впервые появившись в 2019 году, данный RAT на базе .NET собирает системную информацию и выполняет команды, используя числовые команды и методы шифрования XOR и AES-256-CBC для защищённой связи.
- MiyaRAT — разработанный в 2024 году, подключается к своим C2-серверам через жёстко запрограммированный порт и поддерживает многокомандный функционал с адаптивными методами шифрования.
- KiwiStealer — выпущенный в конце 2024 года инструмент для фильтрации файлов, применяющий уникальные методы кодирования, включая перестановку строк и модифицированный шифр Цезаря.
- KugelBlitz — загрузчик шеллкода, ответственный за загрузку и выполнение шеллкода из указанных файлов.
Общие тенденции и технические особенности
Несмотря на разнообразие вредоносных семейств, специалисты Proofpoint выявили схожие TTP (Tactics, Techniques, and Procedures), указывающие на систематический подход к разведке и эксплоитации жертв:
- Сбор типичной системной информации — имя компьютера, имя пользователя, сведения об операционной системе.
- Переход от простых методов кодирования (символьная арифметика) к более сложным схемам шифрования — применение XOR в MiyaRAT и MuuyDownloader, а также AES-256-CBC с ключами, сгенерированными через PBKDF2, в BDarkRAT и AlmondRAT.
Структурированный подход к кибершпионажу
Оперативные методы Bitter и тщательный анализ их вредоносных инструментов сигнализируют о организованной и целенаправленной кампании кибершпионажа, вероятно, связанной с интересами индийского правительства. Постоянное развитие тактик и инструментов подчеркивает стремление группы сохранять актуальность и эффективность в противодействии средствам защиты.
По мнению экспертов Proofpoint, это исследование представляет собой важный вклад в раннее обнаружение и супрессии деятельности Bitter, что критично для экосистемы кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция вредоносного ПО Bitter: анализ MiyaRAT 5.0 и угроз".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.