O ator de ameaça conhecido como Bitter foi avaliado como um grupo de hacking apoiado pelo Estado, encarregado de reunir inteligência que se alinha com os interesses do governo indiano.
Isso é segundo novas descobertas publicadas conjuntamente pela Proofpoint e Threatray em uma análise exaustiva de duas partes.
“Seu diversificado conjunto de ferramentas mostra padrões de codificação consistentes em famílias de malware, particularmente em coleta de informações do sistema e obfuscação de strings,” afirmaram os pesquisadores Abdallah Elshinbary, Jonas Wagner, Nick Attfield e Konstantin Klinger.
Bitter, também conhecido como APT-C-08, APT-Q-37, Hazy Tiger, Orange Yali, T-APT-17 e TA397, tem um histórico de foco principalmente em entidades do sul da Ásia, com intrusões selecionadas também mirando na China, Arábia Saudita e América do Sul.
Em dezembro de 2024, surgiram evidências do ator de ameaça mirando na Turquia usando famílias de malware como WmRAT e MiyaRAT, indicando uma expansão geográfica gradual.
Declarando que o Bitter frequentemente seleciona um "subconjunto extremamente pequeno de alvos", a Proofpoint disse que os ataques são direcionados a governos, entidades diplomáticas e organizações de defesa a fim de possibilitar a coleta de inteligência sobre política externa ou assuntos correntes.
As cadeias de ataque montadas pelo grupo tipicamente aproveitam e-mails de spear-phishing, com as mensagens enviadas de provedores como 163[.]com, 126[.]com e ProtonMail, bem como contas comprometidas associadas aos governos do Paquistão, Bangladesh e Madagascar.
O ator de ameaça também foi observado se passando por entidades governamentais e diplomáticas da China, Madagascar, Maurício e Coreia do Sul nessas campanhas para atrair destinatários a anexos recheados de malware que desencadeiam a implantação de malware.
Visão geral das cadeias de infecção do Bitter.
“Com base no conteúdo e nos documentos isca empregados, está claro que o TA397 não tem escrúpulos em se passar pelos governos de outros países, incluindo aliados da Índia,” disse a empresa de segurança corporativa.
Enquanto os alvos do TA397 nessas campanhas eram entidades turcas e chinesas com presença na Europa, isso indica que o grupo provavelmente tem conhecimento e visibilidade sobre os assuntos legítimos de Madagascar e Maurício e usa o material em operações de spearphishing.
Além disso, o Bitter tem sido encontrado engajado em atividade hands-on-keyboard em duas campanhas distintas mirando organizações governamentais para conduzir mais atividades de enumeração nos hosts alvo e soltar payloads adicionais como KugelBlitz e BDarkRAT, um trojan .NET que foi documentado pela primeira vez em 2019.
Ele apresenta capacidades padrão de trojan de acesso remoto, como coleta de informações do sistema, execução de comandos shell, download de arquivos e gerenciamento de arquivos no host comprometido.
Famílias de Malware do Bitter Algumas das outras ferramentas conhecidas em seu arsenal estão abaixo:
- ArtraDownloader, um downloader escrito em C++ que coleta informações do sistema e usa requisições HTTP para baixar e executar um arquivo remoto;
- Keylogger, um módulo C++ usado em várias campanhas para registrar toques no teclado e conteúdo da área de transferência;
- WSCSPL Backdoor, um backdoor que é entregue via ArtraDownloader e suporta comandos para obter informações da máquina, executar instruções remotas, e baixar e executar arquivos;
- MuuyDownloader (aka ZxxZ), um trojan que permite execução remota de código de payloads recebidos de um servidor remoto;
- Almond RAT, um trojan .NET que oferece funcionalidade básica de coleta de dados e a habilidade de executar comandos arbitrários e transferir arquivos;
- ORPCBackdoor, um backdoor que usa o protocolo RPC para comunicar-se com um servidor de comando-e-controle (C2) e executa instruções emitidas pelo operador;
- KiwiStealer, um stealer que busca por arquivos que correspondem a um conjunto pré-definido de extensões, são menores que 50 MB e foram modificados no último ano, e exfiltra-os para um servidor remoto;
- KugelBlitz, um carregador de shellcode que é usado para implantar o framework Havoc C2.
Vale destacar que o ORPCBackdoor foi atribuído pela Knownsec 404 Team a um ator de ameaça chamado Mysterious Elephant, o qual disse se sobrepor com outros clusters de ameaças alinhados com a Índia, incluindo SideWinder, Patchwork, Confucius e Bitter.
A análise da atividade hands-on-keyboards destaca um “horário de trabalho de segunda a sexta em Indian Standard Timezone (IST),” que também é consistente com o momento em que registros de domínio WHOIS e emissões de certificados TLS acontecem.
“O TA397 é um ator de ameaça focado em espionagem que muito provavelmente opera em nome de uma organização de inteligência indiana,” disseram os pesquisadores.
Há uma clara indicação de que a maioria das atividades relacionadas à infraestrutura acontece durante o horário comercial no fuso horário IST.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...