最近国外研究人员发现一个被追踪为“Bitter APT”(中国安全厂商命名“蔓灵花”APT组织)的网络间谍黑客组织以中国核能行业为目标,使用网络钓鱼电子邮件感染带有恶意软件*载下**程序的设备。
Bitter 是一个疑似南亚黑客组织,以亚太地区能源、工程和政府部门的知名组织为目标。
2022 年 5 月,Bitter APT 被发现使用带有恶意 XLSX 文档附件的鱼叉式网络钓鱼电子邮件在东南亚的目标上加载名为“ZxxZ”的木马。
2022 年 8 月,Meta 报告称,Bitter APT 正在 使用一种名为“Dracarys”的新 Android 间谍软件工具来攻击新西兰、印度、巴基斯坦和英国的用户。
Intezer 的威胁分析师发现了这次黑客活动,他们根据观察到的 TTP(策略、技术和程序)将其归因于 Bitter APT,这些 TTP 与同一威胁参与者过去的活动相匹配。
在Intezer发现的新活动中,Bitter 伪装成吉尔吉斯斯坦驻北京大使馆向与该领域相关的多家中国核能公司和学者发送电子邮件。
这封电子邮件假装是邀请参加一场据称由吉尔吉斯大使馆、国际原子能机构 (IAEA) 和中国国际问题研究院 (CIIS) 举办的核能会议。
钓鱼邮件正文 (Intezer)
电子邮件上签名的名字是真实的,属于吉尔吉斯斯坦外交部的一名官员,表明 Bitter APT 对有助于增加其通信合法性的细节的关注。
敦促收件人*载下**电子邮件的 RAR 附件,该附件据称包含会议邀请卡,但实际上包含 Microsoft 编译的 HTML 帮助文件 (CHM) 或恶意 Excel 文档。
在大多数情况下,Bitter APT 使用 CHM 有效负载执行命令以在受感染系统上创建计划任务并*载下**下一阶段。
当 Excel 文档隐藏在*载下**的 RAR 附件中时,计划任务是通过利用打开恶意文档触发的较旧的公式编辑器漏洞来添加的。
计划任务 (Intezer)
Intezer 评论说,攻击者可能更喜欢 CHM 有效载荷,因为它们不需要目标使用易受攻击的 Microsoft Office 版本,由于其 LZX 压缩,可以绕过静态分析,并且需要最少的用户交互来操作。
如果使用 CHM 有效载荷,则第二阶段有效载荷是 MSI 或 PowerShell 文件,如果使用 Excel 文档有效载荷,则第二阶段有效载荷是 EXE 文件。
CHM 文件中的恶意 PowerShell (Intezer)
为了逃避检测和暴露,第二阶段的有效载荷是空的。然而,当第一阶段的有效载荷将有关被破坏设备的信息发送到攻击者的命令和控制(C2)服务器时,它将确定它是否是一个有价值的目标并将实际的恶意软件传递到受感染的系统。
清空 MSI 负载 (Intezer)
Intezer 的分析师无法检索到此活动中交付的任何实际有效负载,但假设它们可能包括键盘记录器、RAT(远程访问工具)和信息窃取木马。
Bitter APT的完整感染链 (Intezer)
CHM 文件曾经流行用于软件文档和帮助文件,但现在已不再常用,更不用说在电子邮件通信中了。电子邮件的收件人在遇到附件存档中的 CHM 文件时应提高警惕,因为这些文件可能包含恶意内容。压缩文件本身也应该受到怀疑,因为它们可以绕过反病毒扫描,因此它们是恶意的可能性很高。
参考资料:
https://www.bleepingcomputer.com/news/security/bitter-espionage-hackers-target-chinese-nuclear-energy-orgs/