Threats
A campanha provém de um grupo APT do sul asiático
31/03/2023
O setor de energia nuclear chinês está a ser vítima de um grupo APT do sul asiático numa campanha de ciberespionagem. De acordo com os especialistas da Intezer, o grupo denominado Bitter está ativo desde, pelo menos, 2021, e é conhecido por ter como alvo organizações governamentais e de energia no Bangladesh, China, Paquistão e Arábia Saudita. É caraterizado por utilizar exploits do Excel e arquivos Microsoft Compiled HTML Help (CHM) e Windows Installer. O grupo utilizou payloads ‘first-stage’ atualizadas na campanha e adicionou uma camada extra de ofuscação com armadilhas adicionais de engenharia social. As vítimas recebem pelo menos sete emails de phishing que fingem ser da embaixada do Quirguistão na China, convidando-as a participar em conferências sobre temas relevantes. Os destinatários são levados a descarregar e abrir um arquivo RAR anexado com payloads CHM ou Excel desenhadas para conseguir persistência e procurar malware adicional do servidor command-and-control (C&C). As pauloads do Excel tinham um exploit Equation Editor projetada para definir uma tarefa agendada para baixar um arquivo EXE ‘next-stage’ e outra tarefa para executar a payload. Os ficheiros CHM, por outro lado, podem ser utilizados para executar código arbitrári com baixa interação de utilizador, e o Bitter utilizou vários desses arquivos na campanha. “O APT Bitter não parece mudar muito as suas táticas, portanto, podemos supor que as payloads vão ser semelhantes às observadas em 2021, executando um módulo downloader que pode ser entregue com plugins como keylogger, ferramenta de acesso remoto, file stealer e browser credential stealer”, observam os investigadores da Intezer. |