Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Фишинговая атака Bitter APT на телеком Пакистана в период кризиса

3 мин
7 мая 2025 года, в разгар обострения напряжённости между Пакистаном и Индией, специалисты EclecticIQ выявили масштабную фишинговую кампанию, организованную группировкой Bitter APT (известной также как TA397). Целью атаки стали сотрудники крупнейшей пакистанской телекоммуникационной компании Limited (PTCL). Этот инцидент отражает современную тенденцию использования киберопераций для сбора стратегической разведывательной информации в условиях региональных конфликтов. Атакующая группа ингредиировала рассылку вредоносных электронных писем, используя поддельные, но убедительные учетные данные, полученные в результате компрометации аккаунтов Управления по борьбе с терроризмом Пакистана (CTD). Среди получателей — инженеры 5G инфраструктуры и руководители проектов PTCL, что указывает на прицеливание злоумышленников именно на те позиции, которые могут дать ценные сведения о телекоммуникационной инфраструктуре. Выбор именно файла IQY объясняется способностью обходить традиционные механизмы обнар
Оглавление
Источник: blog.eclecticiq.com
Источник: blog.eclecticiq.com

Фишинговая кампания Bitter APT атакует пакистанскую телекоммуникационную компанию на фоне военного обострения

7 мая 2025 года, в разгар обострения напряжённости между Пакистаном и Индией, специалисты EclecticIQ выявили масштабную фишинговую кампанию, организованную группировкой Bitter APT (известной также как TA397). Целью атаки стали сотрудники крупнейшей пакистанской телекоммуникационной компании Limited (PTCL). Этот инцидент отражает современную тенденцию использования киберопераций для сбора стратегической разведывательной информации в условиях региональных конфликтов.

Особенности фишинговой кампании и методы атаки

Атакующая группа ингредиировала рассылку вредоносных электронных писем, используя поддельные, но убедительные учетные данные, полученные в результате компрометации аккаунтов Управления по борьбе с терроризмом Пакистана (CTD). Среди получателей — инженеры 5G инфраструктуры и руководители проектов PTCL, что указывает на прицеливание злоумышленников именно на те позиции, которые могут дать ценные сведения о телекоммуникационной инфраструктуре.

  • Вредоносное письмо содержало вложение — файл Internet Query (IQY), который использовал Excel macros для запуска команд Windows;
  • Макрос запускал загрузку и исполнение варианта полезной нагрузки WmRAT;
  • Подключение к серверу управления (C2) Bitter APT обеспечивало контроль и управление заражённой системой.

Выбор именно файла IQY объясняется способностью обходить традиционные механизмы обнаружения за счёт легитимных возможностей Microsoft Office, а также задействованием системного бинарника curl.exe для загрузки дополнительных скриптов.

Технологии обхода защиты и устойчивость активности

После заражения вредоносное ПО вносит изменения в реестр системы, обеспечивая автозапуск при загрузке компьютера, что гарантирует постоянный доступ злоумышленников. Вариант WmRAT демонстрировал следующие функции:

  • Фильтрация файлов на устройстве жертвы;
  • Выполнение команд через CMD или PowerShell;
  • Сбор информации о пользователе и системных данных;
  • Связь с C2-сервером по HTTPS с использованием маскированных URI для сокрытия своих действий.

Такой многоуровневый подход свидетельствует об изощрённых тактиках и технических средствах группы Bitter APT, позволяющих избегать обнаружения и поддерживать долгое присутствие внутри целевых сетей.

Источник первоначального проникновения и контекст атаки

По данным расследования, злоумышленники получили начальный доступ к системе CTD благодаря заражению компьютера инфостилером StealC, вызванному скачиванием пиратского программного обеспечения. Это позволило перехватить логины и осуществить доступ к критически важной почтовой системе правоохранительных органов.

Учитывая обострение военной ситуации в регионе, данные операции с большой вероятностью преследуют цель сбора разведывательной информации, включая перехват сообщений и анализ уязвимостей телекоммуникационной инфраструктуры Пакистана. Эксперты предполагают, что собранные сведения могут использоваться для поддержки будущих военных действий.

Рекомендации по защите и мониторингу

В свете данных событий специалисты по кибербезопасности рекомендуют уделять особое внимание следующим аспектам:

  • Внедрение мониторинга и фильтрации файлов с расширением IQY;
  • Отслеживание сетевой активности, связанной с подозрительными вызовами HTTP(S) с нестандартными URI;
  • Обучение сотрудников распознавать фишинговые письма, особенно те, которые могут исходить от внутренних правоохранительных структур;
  • Обеспечение строгого контроля за загрузкой и установкой программного обеспечения, особенно из неофициальных источников.

Этот инцидент подчёркивает растущую опасность действий спонсируемых государством хакерских групп, использующих совмещение социальной инженерии и технических уязвимостей для достижения стратегических целей.

Оставаясь на стороже и совершенствуя меры защиты, организации смогут минимизировать риски и предотвратить развитие аналогичных угроз в будущем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Фишинговая атака Bitter APT на телеком Пакистана в период кризиса".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.