Grupa prijetnji poznata kao Bitter procijenjena je kao hakerska grupa koju podržava država, a kojoj je zadatak da prikuplja obavještajne podatke u skladu s interesima indijske vlade.
To je navedeno u novim nalazima koje su zajednički objavili Proofpoint i Threatray u iscrpnoj analizi u dva dijela.
„Njihov raznovrstan set alata pokazuje konzistentne obrasce kodiranja kroz više porodica malvera, naročito u prikupljanju sistemskih informacija i zamagljivanju stringova,“ navode istraživači Abdallah Elshinbary, Jonas Wagner, Nick Attfield i Konstantin Klinger.
Bitter, poznat i pod nazivima APT-C-08, APT-Q-37, Hazy Tiger, Orange Yali, T-APT-17 i TA397, historijski je bio fokusiran uglavnom na entitete iz Južne Azije, s povremenim upadima koji su ciljali Kinu, Saudijsku Arabiju i Južnu Ameriku.
U decembru 2024. godine, pojavili su se dokazi o napadima na Tursku, pri čemu su korištene porodice malvera kao što su WmRAT i MiyaRAT, što ukazuje na postepeno geografsko širenje.
Proofpoint navodi da Bitter često cilja izuzetno mali broj meta, a napadi su usmjereni na vlade, diplomatske institucije i odbrambene organizacije, s ciljem prikupljanja obavještajnih podataka o spoljnoj politici ili aktuelnim događajima.
Pregled lanaca Bitterove infekcije
Lanci napada koje koristi ova grupa obično počinju putem spear-phishing e-mailova, koji se šalju s domena kao što su 163[.]com, 126[.]com i ProtonMail, kao i preko kompromitovanih naloga povezanih s vladama Pakistana, Bangladeša i Madagaskara.
Takođe je uočeno da se ova grupa predstavlja kao vladine i diplomatske institucije iz Kine, Madagaskara, Mauricijusa i Južne Koreje, kako bi naveli žrtve da otvore maliciozne privitke koji aktiviraju malver.
„Na osnovu sadržaja i korištenih lažnih dokumenata, jasno je da TA397 nema zadrške kada se predstavlja kao vlade drugih država, uključujući i saveznike Indije,“ navodi sigurnosna kompanija.
„Iako su mete TA397 u ovim kampanjama bile turske i kineske institucije s prisustvom u Evropi, to ukazuje da grupa vjerovatno ima uvid i znanje o stvarnim poslovima Madagaskara i Mauricijusa, koje koristi u spear-phishing napadima.“
Osim toga, utvrđeno je da Bitter direktno upravlja kompromitovanim sistemima („hands-on-keyboard“) u najmanje dvije kampanje usmjerene na vladine organizacije, s ciljem dodatnog skeniranja sistema i preuzimanja dodatnih malicioznih programa, kao što su KugelBlitz i BDarkRAT, .NET trojanac prvi put dokumentovan 2019. godine.
BDarkRAT ima standardne mogućnosti:
- Prikupljanje informacija o sistemu
- Izvršavanje komandi kroz shell
- Preuzimanje i upravljanje fajlovima
Bitterove porodice malicioznog softvera
Ostali poznati alati u arsenalu Bitter grupe uključuju:
- ArtraDownloader – downloader pisan u C++, prikuplja sistemske informacije i preuzima fajlove putem HTTP zahtjeva
- Keylogger – C++ modul za snimanje pritisaka na tastaturi i sadržaja clipboarda
- WSCSPL Backdoor – backdoor distribuisan putem ArtraDownloadera, omogućava prikupljanje informacija i izvršavanje komandi
- MuuyDownloader (poznat i kao ZxxZ) – omogućava izvršavanje udaljenog koda
- Almond RAT – .NET trojanac koji omogućava prikupljanje podataka, izvršavanje komandi i prenos fajlova
- ORPCBackdoor – koristi RPC protokol za komunikaciju s C2 serverom i izvršava instrukcije operatera
- KiwiStealer – traži fajlove određene ekstenzije, manje od 50 MB, izmijenjene u posljednjih godinu dana, i šalje ih na udaljeni server
- KugelBlitz – loader koji pokreće Havoc C2 framework
Važno je napomenuti da je ORPCBackdoor pripisan od strane tima Knownsec 404 prijetnji poznatoj kao Mysterious Elephant, koja se preklapa s drugim grupama povezanima s Indijom, kao što su SideWinder, Patchwork, Confucius i Bitter.
Analiza aktivnosti „hands-on-keyboard“ otkriva da se rad najčešće odvija od ponedjeljka do petka u radno vrijeme po Indijskom standardnom vremenu (IST), što se poklapa i s vremenima registracije domena i izdavanja TLS certifikata.
„TA397 je haker fokusiran na špijunažu i vrlo vjerovatno djeluje u ime indijske obavještajne službe,“ zaključuju istraživači.
„Postoji jasan pokazatelj da se većina infrastrukturnih aktivnosti odvija tokom standardnog radnog vremena po IST vremenskoj zoni.“
Izvor.The Hacker News