Peretas APT Pahit Terus Menargetkan Entitas Militer Bangladesh

Bitter APT Hacker Group

Entitas militer yang berlokasi di Bangladesh terus menerima serangan siber berkelanjutan oleh ancaman gigih tingkat lanjut yang dilacak sebagai Bitter.

“Melalui file dokumen berbahaya dan malware perantara, pelaku ancaman melakukan spionase dengan menyebarkan Trojan Akses Jarak Jauh,” kata perusahaan keamanan siber SECUINFRA dalam artikel baru yang diterbitkan pada 5 Juli.

Temuan dari perusahaan yang bermarkas di Berlin ini didasarkan pada laporan sebelumnya dari Cisco Talos pada bulan Mei, yang mengungkapkan ekspansi grup dalam menargetkan untuk menyerang organisasi pemerintah Bangladesh dengan pintu belakang yang disebut ZxxZ.

Bitter, juga dilacak dengan nama kode APT-C-08 dan T-APT-17, dikatakan aktif setidaknya sejak akhir 2013 dan memiliki rekam jejak menargetkan China, Pakistan, dan Arab Saudi menggunakan alat yang berbeda seperti BitterRAT dan Pengunduh Artra.

falcon

Rantai serangan terbaru yang dirinci oleh SECUINFRA diyakini telah dilakukan pada pertengahan Mei 2022, berasal dari dokumen Excel yang dipersenjatai yang kemungkinan didistribusikan melalui email spear-phishing yang, ketika dibuka, mengeksploitasi Microsoft Equation Editor exploit (CVE-2018 -0798) untuk menghapus biner tahap berikutnya dari server jarak jauh.

ZxxZ (atau MuuyDownloader oleh Qi-Anxin Threat Intelligence Center), sebutan untuk muatan yang diunduh, diimplementasikan dalam Visual C++ dan berfungsi sebagai implan tahap kedua yang memungkinkan musuh menyebarkan malware tambahan.

Keamanan cyber

Perubahan yang paling menonjol dalam malware melibatkan meninggalkan pemisah “ZxxZ” yang digunakan saat mengirim informasi kembali ke server command-and-control (C2) demi garis bawah, menunjukkan bahwa grup tersebut secara aktif membuat modifikasi pada kode sumbernya untuk tetap tinggal. di bawah radar.

RAT

Juga digunakan oleh aktor ancaman dalam kampanyenya adalah pintu belakang yang dijuluki Almond RAT, RAT berbasis .NET yang pertama kali terungkap pada Mei 2022 dan menawarkan fungsionalitas pengumpulan data dasar dan kemampuan untuk menjalankan perintah arbitrer. Selain itu, implan menggunakan teknik penyamaran dan enkripsi string untuk menghindari deteksi dan untuk menghalangi analisis.

Related Post :   Rincian Pakar Saintstealer dan Prynt Stealer Info-Mencuri Keluarga Malware

“Tujuan utama RAT almond tampaknya adalah penemuan sistem file, eksfiltrasi data, dan cara memuat lebih banyak alat/membangun ketekunan,” kata para peneliti. “Desain alat tampaknya ditata sedemikian rupa sehingga dapat dengan cepat dimodifikasi dan disesuaikan dengan skenario serangan saat ini.”


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.