Um suposto grupo de ameaças de ciberespionagem do Sul da Ásia, conhecido como Bitter, teve como alvo uma organização do setor de defesa da Turquia em novembro de 2024 para entregar duas famílias de malware em C++, identificadas como WmRAT e MiyaRAT.
"A cadeia de ataque utilizou streams de dados alternativos em um arquivo RAR para entregar um arquivo de atalho (LNK) que criava uma tarefa agendada na máquina alvo para baixar mais payloads", disseram os pesquisadores da Proofpoint Nick Attfield, Konstantin Klinger, Pim Trouerbach e David Galazin em um relatório compartilhado.
A empresa de segurança empresarial está rastreando o ator de ameaça sob o nome TA397.
Conhecido por estar ativo desde pelo menos 2013, o adversário também é referido como APT-C-08, APT-Q-37, Hazy Tiger e Orange Yali.
Ataques anteriores realizados pelo grupo hacker atingiram entidades na China, Paquistão, Índia, Arábia Saudita e Bangladesh com malware como BitterRAT, ArtraDownloader e ZxxZ, indicando um forte foco na Ásia.
O Bitter também foi vinculado a ataques cibernéticos que levaram ao desenvolvimento de cepas de malware para Android, como PWNDROID2 e Dracarys, de acordo com relatórios da BlackBerry e Meta em 2019 e 2022, respectivamente.
Em março deste ano, a empresa de cibersegurança NSFOCUS revelou que uma agência governamental chinesa não nomeada foi submetida a um ataque de spear-phishing pelo Bitter em 1º de fevereiro de 2024, que entregou um trojan capaz de roubar dados e controle remoto.
A cadeia de ataque mais recente documentada pela Proofpoint envolveu o ator de ameaça usando uma isca sobre projetos de infraestrutura pública em Madagascar para atrair vítimas em potencial a lançar o anexo de arquivo RAR armadilhado.
Presente dentro do arquivo RAR estava um arquivo isca sobre uma iniciativa pública do Banco Mundial em Madagascar para desenvolvimento de infraestrutura, um arquivo de atalho do Windows disfarçado de PDF e um arquivo de stream de dados alternativos (ADS) oculto contendo código PowerShell.
ADS refere-se a uma funcionalidade introduzida no Sistema de Arquivos de Nova Tecnologia (NTFS) usado pelo Windows para anexar e acessar streams de dados a um arquivo.
Ele pode ser usado para contrabandear dados adicionais para um arquivo sem afetar seu tamanho ou aparência, permitindo assim que os atores de ameaças escondam de forma furtiva a presença de uma carga maliciosa dentro do registro de arquivo de um arquivo inofensivo.
Caso a vítima execute o arquivo LNK, um dos streams de dados contém código para recuperar um arquivo isca hospedado no site do Banco Mundial, enquanto o segundo ADS inclui um script PowerShell codificado em Base64 para abrir o documento isca e configurar uma tarefa agendada responsável por buscar as cargas úteis finais do domínio jacknwoods[.]com.
Tanto o WmRAT quanto o MiyaRAT, conforme detalhados anteriormente pela QiAnXin, vêm com capacidades padrão de trojan de acesso remoto (RAT), permitindo que o malware colete informações do host, faça upload ou download de arquivos, tire capturas de tela, obtenha dados de geolocalização, enumere arquivos e diretórios e execute comandos arbitrários via cmd.exe ou PowerShell.
Acredita-se que o uso de MiyaRAT seja reservado para alvos de alto valor, devido ao fato de que foi implantado de forma seletiva em apenas algumas campanhas.
"Essas campanhas são quase certamente esforços de coleta de inteligência em apoio aos interesses de um governo do Sul da Ásia", disse a Proofpoint.
Eles utilizam persistentemente tarefas agendadas para se comunicar com seus domínios de preparação para implantar backdoors maliciosos em organizações alvo, com o objetivo de ganhar acesso a informações privilegiadas e propriedade intelectual.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...