Bittere APT-hackers voegen Bangladesh toe aan hun lijst met doelen in Zuid-Azië

Bitter APT Hackers ajoute le Bangladesh à sa liste de cibles en Asie du Sud Nachrichten

Een op spionage gerichte dreigingsactor die bekend staat om zijn aanvallen op China, Pakistan en Saoedi-Arabië, is uitgebreid om zijn vizier op Bengaalse overheidsorganisaties te richten als onderdeel van een lopende campagne die in augustus 2021 begon.

Cyberbeveiligingsbedrijf Cisco Talos schreef de activiteit met matig vertrouwen toe aan een hackgroep genaamd de Bittere APT gebaseerd op overlappingen in de command-and-control (C2)-infrastructuur met die van eerdere campagnes die door dezelfde actor zijn opgezet.

„Bangladesh past in het profiel dat we hebben gedefinieerd voor deze dreigingsactor, die zich eerder richtte op Zuidoost-Aziatische landen, waaronder ChinaPakistan en Saoedi-Arabië,“ Vitor Ventura, hoofd beveiligingsonderzoeker bij Cisco Talos, toud Het Hackernieuws.

„En nu, in deze laatste campagne, hebben ze hun bereik naar Bangladesh vergroot. Elk nieuw land in Zuidoost-Azië dat het doelwit is van Bitter APT zou geen verrassing moeten zijn.“

Bitter (ook bekend als APT-C-08 of T-APT-17) wordt vermoed een Zuid-Aziatische hackgroep te zijn die voornamelijk wordt gemotiveerd door het verzamelen van inlichtingen, een operatie die wordt gefaciliteerd door middel van malware zoals BitterRAT, ArtraDownloader en AndroRAT. Prominente doelen zijn onder meer de sectoren energie, techniek en overheid.

De eerste aanvallen verspreidden de mobiele versie van BitterRAT dateert uit september 2014, waarbij de acteur in het verleden gebruikmaakte van zero-day-fouten – CVE-2021-1732 en CVE-2021-28310 — in zijn voordeel en het bereiken van zijn vijandige doelstellingen.

De nieuwste campagne, gericht op een elite-entiteit van de regering van Bangladesh, omvat het verzenden van spear-phishing-e-mails naar hoge officieren van de Rapid Action Battalion Unit van de politie van Bangladesh (RAB).

Zoals gewoonlijk wordt waargenomen bij andere social engineering-aanvallen van dit soort, zijn de brieven ontworpen om de ontvangers te verleiden een bewapend RTF-document of een Microsoft Excel-spreadsheet te openen die eerder bekende fouten in de software uitbuit om een ​​nieuwe trojan te implementeren; genaamd „ZxxZ.“

ZxxZ, zo genoemd naar een scheidingsteken dat door de malware wordt gebruikt bij het terugsturen van informatie naar de C2-server, is een 32-bits Windows-uitvoerbaar bestand dat is gecompileerd in Visual C++.

„De trojan doet zich voor als een Windows-beveiligingsupdateservice en laat de

kwaadwillende actor om code op afstand uit te voeren, waardoor de aanvaller andere activiteiten kan uitvoeren door andere tools te installeren“, legden de onderzoekers uit.

Terwijl het kwaadaardige RTF-document misbruik maakt van een kwetsbaarheid voor geheugenbeschadiging in de Equation Editor van Microsoft Office (CVE-2017-11882), maakt het Excel-bestand misbruik van twee fouten bij het uitvoeren van externe code, CVE-2018-0798 en CVE-2018-0802om de infectievolgorde te activeren.

„Acteurs veranderen vaak hun tools om detectie of attributie te voorkomen, dit maakt deel uit van de levenscyclus van een bedreigingsactor die zijn capaciteiten en vastberadenheid laat zien“, zei Ventura.

David
Rate author
Hackarizona