Threats

Setor de energia nuclear chinês vítima de campanha de ciberespionagem

A campanha provém de um grupo APT do sul asiático

31/03/2023

Setor de energia nuclear chinês vítima de campanha de ciberespionagem

O setor de energia nuclear chinês está a ser vítima de um grupo APT do sul asiático numa campanha de ciberespionagem. De acordo com os especialistas da Intezer, o grupo denominado Bitter está ativo desde, pelo menos, 2021, e é conhecido por ter como alvo organizações governamentais e de energia no Bangladesh, China, Paquistão e Arábia Saudita. É caraterizado por utilizar exploits do Excel e arquivos Microsoft Compiled HTML Help (CHM) e Windows Installer. 

O grupo utilizou payloads ‘first-stage’ atualizadas na campanha e adicionou uma camada extra de ofuscação com armadilhas adicionais de engenharia social. As vítimas recebem pelo menos sete emails de phishing que fingem ser da embaixada do Quirguistão na China, convidando-as a participar em conferências sobre temas relevantes.

Os destinatários são levados a descarregar e abrir um arquivo RAR anexado com payloads CHM ou Excel desenhadas para conseguir persistência e procurar malware adicional do servidor command-and-control (C&C). As pauloads do Excel tinham um exploit Equation Editor projetada para definir uma tarefa agendada para baixar um arquivo EXE ‘next-stage’ e outra tarefa para executar a payload.

Os ficheiros CHM, por outro lado, podem ser utilizados para executar código arbitrári com baixa interação de utilizador, e o Bitter utilizou vários desses arquivos na campanha.

O APT Bitter não parece mudar muito as suas táticas, portanto, podemos supor que as payloads vão ser semelhantes às observadas em 2021, executando um módulo downloader que pode ser entregue com plugins como keylogger, ferramenta de acesso remoto, file stealer e browser credential stealer”, observam os investigadores da Intezer.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.