Группа хакеров Bitter, предположительно связанная с индийскими государственными структурами, специализируется на сборе разведданных в интересах правительства Индии.
Эти выводы базируются на свежем и детальном исследовании, проведённом специалистами Proofpoint и Threatray.
Эксперты Абдалла Эльшинбари, Йонас Вагнер, Ник Аттфилд и Константин Клингер отметили: «Разнообразие используемых инструментов указывает на единые программные шаблоны, особенно в частях, отвечающих за сбор системных данных и сокрытие строк».
Группа Bitter также известна под именами APT-C-08, APT-Q-37, Hazy Tiger, Orange Yali, T-APT-17 и TA397. Изначально её атаки были сосредоточены на Южной Азии, однако она также целилась в Китай, Саудовскую Аравию и страны Южной Америки.
В декабре 2024 года появились доказательства расширения деятельности Bitter — теперь она атакует Турцию с помощью вредоносных программ WmRAT и MiyaRAT.
Proofpoint подчеркнул: группа ведёт прицельные операции против «очень узкого круга целей», главным образом государственных, дипломатических и оборонных учреждений, пытаясь добыть сведения о внешней политике и текущих событиях.
Атаки в основном осуществляются через фишинговые письма, рассылаемые с почтовых сервисов 163[.]com, 126[.]com и ProtonMail, а также с взломанных аккаунтов правительств Пакистана, Бангладеш и Мадагаскара.
В некоторых кампаниях злоумышленники выдают себя за представителей правительств и дипломатических миссий Китая, Мадагаскара, Маврикия и Южной Кореи, чтобы заставить пользователей открыть вредоносные вложения.
Как отметили аналитики в области кибербезопасности, «по содержанию и подделанным документам ясно, что TA397 без стеснения маскируется под правительства других стран, в том числе союзников Индии».
«В последних кампаниях TA397 жертвами стали турецкие и китайские организации, имеющие представительства в Европе. Это говорит о том, что группа располагает ценными сведениями о ситуации в Мадагаскаре и Маврикии, которые используют для своих фишинговых атак».
Кроме того, Bitter активно управляет атаками в двух независимых кампаниях, направленных на расширенный сбор данных о системах и загрузку дополнительных программ, включая KugelBlitz и BDarkRAT — .NET-троян, впервые обнаруженный в 2019 году.
BDarkRAT обладает стандартным набором функций удалённого доступа: сбор системной информации, выполнение команд, скачивание и управление файлами на заражённом устройстве.
Другие инструменты группы включают:
- ArtraDownloader — загрузчик на C++, который собирает информацию о системе и скачивает вредоносные файлы через HTTP-запросы;
- Keylogger — модуль на C++, записывающий нажатия клавиш и содержимое буфера обмена;
- WSCSPL Backdoor — бекдор, передаваемый через ArtraDownloader, позволяющий управлять системой, запускать команды и скачивать файлы;
- MuuyDownloader (он же ZxxZ) — троян, который исполняет удалённый код вредоносных файлов;
- Almond RAT — .NET-троян для сбора данных, выполнения команд и передачи файлов;
- ORPCBackdoor — бекдор с поддержкой RPC-протокола для связи с командным сервером и выполнения команд оператора;
- KiwiStealer — инструмент для кражи файлов с определёнными расширениями, размером до 50 МБ, изменённых за последний год, с их передачей на удалённый сервер;
- KugelBlitz — загрузчик shellcode, используемый для развертывания инструментария Havoc C2.
Следует отметить, что ORPCBackdoor связывают с группировкой Mysterious Elephant, которая, по данным команды Knownsec 404, пересекается с другими индийскими хакерскими объединениями, такими как SideWinder, Patchwork, Confucius и Bitter.
Анализ активности и прямого контроля атак показывает, что их рабочее время приходится на будние дни с понедельника по пятницу по индийскому часовому поясу IST, что совпадает со временем регистрации WHOIS-доменов и выдачи TLS-сертификатов.
«TA397 — это группа, ориентированная на кибершпионаж, и с высокой вероятностью действует по заказу индийских спецслужб», — делают вывод исследователи. «Очевидно, что основная часть инфраструктуры работает в обычные рабочие часы по времени Индии».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru