Menu dostępności

Analiza ataków Bitter APT

Analiza ataków Bitter APT

Południowoazjatycki aktor zajmujący się zaawansowanymi trwałymi zagrożeniami (APT) obrał sobie za cel sektor energii jądrowej w Chinach. Jako pierwsza działanie hakerów zaobserwowała i opisała izraelska firma Intezer.

Grupa została nazwana Bitter APT. Działa od co najmniej 2021 roku i znana jest z ataków na organizacje energetyczne i rządowe w Bangladeszu, Chinach, Pakistanie i Arabii Saudyjskiej. A piszemy o tym, żeby pokazać elementy charakterystyczne dla ich akcji. Można wśród nich wymienić wykorzystywanie exploitów w programie Excel oraz Microsoft Compiled HTML Help (CHM) i plików Instalatora Windows (MSI). Grupa stosowała również zaktualizowane ładunki pierwszego etapu w obserwowanej ostatnio kampanii szpiegowskiej, dodała dodatkową warstwę zaciemniania i wykorzystała dodatkowe wabiki w inżynierii społecznej.

Bitter APT zaatakował odbiorców z chińskiego przemysłu energii jądrowej, wysyłając co najmniej siedem maili phishingowych. Podszywał się w nich pod ambasadę Kirgistanu w Chinach, zapraszając do udziału w konferencjach poświęconych przeróżnym tematom.

Odbiorców zachęcano do pobrania i otwarcia załączonego archiwum RAR zawierającego ładunki CHM lub Excel, zaprojektowane w celu osiągnięcia trwałości i pobrania dodatkowego szkodliwego oprogramowania z serwera dowodzenia i kontroli (C&C).

Zaobserwowane ładunki programu Excel zawierały exploit Edytora równań zaprojektowany w celu ustawienia zaplanowanego zadania pobrania pliku EXE następnego etapu oraz innego zadania – wykonania ładunku.

Z drugiej strony pliki CHM mogą być używane do prostego wykonywania dowolnego kodu przy niewielkiej interakcji użytkownika, nawet jeśli podatna na ataki iteracja pakietu Microsoft Office nie jest zainstalowana. Bitter APT użył w tej kampanii wielu takich plików.

Jeden ze zidentyfikowanych wariantów tworzy zaplanowane zadanie, aby wykonać zdalny ładunek MSI za pomocą narzędzia msiexec. Podczas badania łańcucha ataków Intezer znajdował „puste” pliki MSI, które atakujący mogli wykorzystać do rozpoznania i które można było zamienić na rzeczywisty ładunek, jeśli cel został uznany za obiecujący.

Zaobserwowano, że druga wersja pliku CHM wykonuje podobną czynność przy użyciu zakodowanego etapu poleceń programu PowerShell.

„Bitter APT nie wydaje się zbytnio zmieniać swojej taktyki, dlatego możemy założyć, że ładunki będą podobne do tych obserwowanych w 2021 r., wykonując moduł downloadera, który może być obsługiwany za pomocą wtyczek, takich jak keylogger, narzędzie do zdalnego dostępu, złodziej plików lub narzędzie do kradzieży danych uwierzytelniających przeglądarki” – zauważa Intezer.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...