Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Шпионская группа Bitter использует скрытые потоки NTFS для атак на оборонный сектор Турции

18/12/24

thumbs_b_c_52e8042ce3364628d0e716b9f3427514

Группировка кибершпионажа Bitter, предположительно связанная с Южной Азией, в ноябре 2024 года атаковала организацию оборонного сектора Турции, используя две вредоносные программы WmRAT и MiyaRAT на базе C++, пишет Securitylab.

Исследователи компании Proofpoint сообщили, что атака началась с архива RAR, в котором использовались альтернативные потоки данных. Архив содержал LNK-файл, создающий задачу в планировщике для скачивания дальнейших полезных нагрузок.

Bitter, отслеживаемая также как TA397, действует с 2013 года. Ранее её активности фиксировались в Китае, Пакистане, Индии, Саудовской Аравии и Бангладеш. Основными инструментами группировки были BitterRAT, ArtraDownloader и ZxxZ, что подтверждает явный фокус на азиатский регион.

В ходе последней атаки злоумышленники использовали приманку в виде информации о проектах инфраструктуры на Мадагаскаре. В архиве находился фальшивый PDF-файл и скрытый поток данных с PowerShell-кодом.

Альтернативные потоки данных в файловой системе NTFS позволяют злоумышленникам внедрять скрытые данные в файлы без изменения их размера или внешнего вида. В данном случае один поток скачивал документ-приманку с сайта Всемирного банка, а второй содержал PowerShell-скрипт для запуска планировщика задач.

Основные вредоносные программы — WmRAT и MiyaRAT — наделены стандартными возможностями троянов удалённого доступа: сбор информации о системе, загрузка и выгрузка файлов, создание снимков экрана, получение геоданных и выполнение произвольных команд через cmd.exe или PowerShell.

Эксперты отмечают, что MiyaRAT используется для особо важных целей, поскольку его применяют в ограниченном числе атак. По оценке Proofpoint, действия Bitter направлены на сбор разведывательных данных в интересах южноазиатских правительств.

Темы:ПреступлениякибершпионажСредний Востокгосударственные кибератаки
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...