Um grupo de hackers de ciberespionagem rastreado como 'Bitter APT' foi visto recentemente atacando a indústria de energia nuclear chinesa usando e-mails de phishing para infectar dispositivos com baixadores de malware.
Bitter é um grupo suspeito de hackers do sul da Ásia conhecido por mirar em organizações de alto perfil nos setores de energia, engenharia e governo na região Ásia-Pacífico.
Em maio de 2022, o Bitter APT foi visto usando e-mails de spear phishing com anexos maliciosos de documentos XLSX para carregar um trojan chamado 'ZxxZ' em alvos no sudeste asiático.
Em agosto de 2022, o Meta relatou que o Bitter APT estava usando uma nova ferramenta de spyware para Android chamada 'Dracarys' contra usuários na Nova Zelândia, Índia, Paquistão e Reino Unido.
Essa campanha de hacking foi descoberta por analistas de ameaças da Intezer, que a atribuem ao Bitter APT com base nas TTPs (táticas, técnicas e procedimentos) observadas que correspondem às de campanhas passadas pelo mesmo ator de ameaça.
Na nova campanha encontrada pela Intezer, o Bitter envia e-mails fingindo ser da Embaixada do Quirguistão em Pequim para várias empresas de energia nuclear chinesas e acadêmicos relacionados a esse campo.
O e-mail finge ser um convite para uma conferência sobre energia nuclear supostamente realizada pela Embaixada do Quirguistão, a Agência Internacional de Energia Atômica (AIEA) e o Instituto Chinês de Estudos Internacionais (CIIS).
O nome que assina o e-mail é genuíno, pertencendo a um oficial do Ministério das Relações Exteriores do Quirguistão, mostrando a atenção do Bitter APT aos detalhes que ajudam a adicionar legitimidade às suas comunicações.
Os destinatários são instados a baixar o anexo RAR do e-mail, que supostamente contém um cartão de convite para a conferência, mas que na realidade tem um arquivo de ajuda do Microsoft Compiled HTML (CHM) ou um documento Excel malicioso.
Na maioria dos casos, o Bitter APT usa um payload CHM que executa comandos para criar tarefas agendadas no sistema comprometido e baixar a próxima etapa.
Quando um documento do Excel se esconde nos anexos RAR baixados, a tarefa agendada é adicionada explorando uma vulnerabilidade mais antiga do Equation Editor acionada pela abertura do documento malicioso.
A Intezer comenta que o ator de ameaça provavelmente prefere os payloads CHM porque eles não exigem que o alvo use uma versão vulnerável do Microsoft Office, podem contornar a análise estática graças à sua compressão LZX e requerem interação mínima do usuário para operar.
O payload de segunda etapa é um arquivo MSI ou PowerShell se um payload CHM for usado ou um arquivo EXE no caso do payload do documento Excel.
Para evadir a detecção e exposição, os payloads de segunda etapa estão vazios.
No entanto, quando os payloads de primeira etapa enviam informações sobre o dispositivo comprometido para o servidor de comando e controle do atacante, ele determinará se é um alvo valioso e entregará malware real ao sistema comprometido.
Os analistas da Intezer não puderam recuperar nenhum payload real entregue nesta campanha, mas hipotetizaram que eles podem incluir keyloggers, ferramentas de acesso remoto (RATs) e roubadores de informações.
Os arquivos CHM já foram populares para documentação de software e arquivos de ajuda, mas não são mais comumente usados, muito menos em comunicações por e-mail.
Os destinatários de e-mails devem exercer vigilância elevada ao encontrar arquivos CHM em arquivos anexados, pois esses arquivos podem potencialmente abrigar conteúdo malicioso.
Por fim, os arquivos anexados também devem ser tratados com suspeita, pois podem contornar as varreduras de antivírus, e portanto a probabilidade de serem maliciosos é alta.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...