Aktor ancaman yang berfokus pada spionase yang dikenal karena menargetkan China, Pakistan, dan Arab Saudi telah berkembang untuk mengarahkan pandangannya pada organisasi pemerintah Bangladesh sebagai bagian dari kampanye berkelanjutan yang dimulai pada Agustus 2021.
Perusahaan keamanan siber Cisco Talos mengaitkan aktivitas tersebut dengan keyakinan moderat ke kelompok peretasan yang dijuluki Bitter APT berdasarkan tumpang tindih dalam infrastruktur perintah dan kendali (C2) dengan kampanye sebelumnya yang dipasang oleh aktor yang sama.
“Bangladesh sesuai dengan profil yang telah kami tetapkan untuk aktor ancaman ini, yang sebelumnya menargetkan negara-negara Asia Tenggara termasuk China, Pakistan, dan Arab Saudi,” Vitor Ventura, peneliti keamanan utama di Cisco Talos, mengatakan kepada The Hacker News.
“Dan sekarang, dalam kampanye terbaru ini, mereka telah memperluas jangkauan mereka ke Bangladesh. Setiap negara baru di Asia Tenggara yang menjadi sasaran Bitter APT seharusnya tidak mengejutkan.”
Bitter (alias APT-C-08 atau T-APT-17) diduga sebagai kelompok peretas Asia Selatan yang dimotivasi terutama oleh pengumpulan intelijen, sebuah operasi yang difasilitasi oleh malware seperti BitterRAT, ArtraDownloader, dan AndroRAT. Target utama mencakup sektor energi, teknik, dan pemerintah.
Serangan paling awal adalah mendistribusikan versi seluler BitterRAT kembali ke September 2014, dengan aktor yang memiliki sejarah memanfaatkan kelemahan zero-day — CVE-2021-1732 dan CVE-2021-28310 — untuk keuntungannya dan mencapai tujuan permusuhannya.
Kampanye terbaru, yang menargetkan entitas elit pemerintah Bangladesh, melibatkan pengiriman email spear-phishing ke perwira tinggi Unit Batalyon Aksi Cepat polisi Bangladesh (RAB).
Seperti yang biasanya diamati dalam serangan rekayasa sosial lain semacam ini, surat-surat tersebut dirancang untuk memikat penerima agar membuka dokumen RTF yang dipersenjatai atau spreadsheet Microsoft Excel yang mengeksploitasi kelemahan yang diketahui sebelumnya dalam perangkat lunak untuk menyebarkan trojan baru; dijuluki “ZxxZ.”
ZxxZ, dinamai demikian setelah pemisah yang digunakan oleh malware saat mengirim informasi kembali ke server C2, adalah executable Windows 32-bit yang dikompilasi dalam Visual C++.
“Trojan menyamar sebagai layanan pembaruan Keamanan Windows dan memungkinkan
aktor jahat untuk melakukan eksekusi kode jarak jauh, memungkinkan penyerang melakukan aktivitas lain dengan menginstal alat lain,” jelas para peneliti.
Sementara dokumen RTF berbahaya mengeksploitasi kerentanan korupsi memori di Editor Persamaan Microsoft Office (CVE-2017-11882), file Excel menyalahgunakan dua kelemahan eksekusi kode jarak jauh, CVE-2018-0798 dan CVE-2018-0802, untuk mengaktifkan urutan infeksi .
“Aktor sering mengubah alat mereka untuk menghindari deteksi atau atribusi, ini adalah bagian dari siklus hidup aktor ancaman yang menunjukkan kemampuan dan tekadnya,” kata Ventura.