18/12/24
Группировка кибершпионажа Bitter, предположительно связанная с Южной Азией, в ноябре 2024 года атаковала организацию оборонного сектора Турции, используя две вредоносные программы WmRAT и MiyaRAT на базе C++, пишет Securitylab.
Исследователи компании Proofpoint сообщили, что атака началась с архива RAR, в котором использовались альтернативные потоки данных. Архив содержал LNK-файл, создающий задачу в планировщике для скачивания дальнейших полезных нагрузок.
Bitter, отслеживаемая также как TA397, действует с 2013 года. Ранее её активности фиксировались в Китае, Пакистане, Индии, Саудовской Аравии и Бангладеш. Основными инструментами группировки были BitterRAT, ArtraDownloader и ZxxZ, что подтверждает явный фокус на азиатский регион.
В ходе последней атаки злоумышленники использовали приманку в виде информации о проектах инфраструктуры на Мадагаскаре. В архиве находился фальшивый PDF-файл и скрытый поток данных с PowerShell-кодом.
Альтернативные потоки данных в файловой системе NTFS позволяют злоумышленникам внедрять скрытые данные в файлы без изменения их размера или внешнего вида. В данном случае один поток скачивал документ-приманку с сайта Всемирного банка, а второй содержал PowerShell-скрипт для запуска планировщика задач.
Основные вредоносные программы — WmRAT и MiyaRAT — наделены стандартными возможностями троянов удалённого доступа: сбор информации о системе, загрузка и выгрузка файлов, создание снимков экрана, получение геоданных и выполнение произвольных команд через cmd.exe или PowerShell.
Эксперты отмечают, что MiyaRAT используется для особо важных целей, поскольку его применяют в ограниченном числе атак. По оценке Proofpoint, действия Bitter направлены на сбор разведывательных данных в интересах южноазиатских правительств.
