Yakın zamanda Çin nükleer enerji endüstrisini, kötü amaçlı yazılım indiricileriyle enfekte etmek için kimlik avı e -postalarını kullanarak Çin nükleer enerji endüstrisini hedefleyen bir siber boyama hackleme grubu görüldü.
Acı, Asya-Pasifik bölgesindeki enerji, mühendislik ve hükümet sektörlerinde yüksek profilli kuruluşları hedeflediği bilinen şüpheli bir Güney Asya hack grubudur.
Mayıs 2022'de Bitter Apt, Güneydoğu Asya'daki hedeflere 'ZXXZ' adlı bir truva atı yüklemek için kötü niyetli XLSX belge eklerine sahip Spear Kimlik avı e -postaları kullanılarak tespit edildi.
Ağustos 2022'de Meta, Bitter Apt'ın Yeni Zelanda, Hindistan, Pakistan ve Birleşik Krallık'taki kullanıcılara karşı 'Dracarys' adlı yeni bir Android casus yazılım aracı kullandığını bildirdi.
Bu hack kampanyası, aynı tehdit oyuncusu tarafından geçmiş kampanyalarınkiyle eşleşen gözlemlenen TTP'lere (taktikler, teknikler ve prosedürler) dayanarak acı apt ile ilişkilendiren Intezer'deki tehdit analistleri tarafından keşfedildi.
Intezer tarafından bulunan yeni kampanyada Bitter, Pekin'deki Kırgızistan'ın büyükelçiliğinden bu alanla ilgili çeşitli Çin nükleer enerji şirketlerine ve akademisyenlere gibi görünen e -postalar gönderiyor.
E -posta, Kırgız Büyükelçiliği, Uluslararası Atom Enerjisi Ajansı (IAEA) ve Çin Uluslararası Araştırmalar Enstitüsü (CIIS) tarafından olduğu sözde nükleer enerji hakkında bir konferansa davet ediyormuş gibi yapıyor.
E -postayı imzalayan isim, Kırgızistan Dışişleri Bakanlığı'nın bir yetkilisine ait olan ve acı Apt'in iletişimlerine meşruiyet eklemeye yardımcı olan ayrıntılara dikkatini gösteren gerçek.
Alıcılardan, konferans için bir davet kartı içeren e -postanın RAR ekini indirmeleri istenir, ancak gerçekte bir Microsoft derlenmiş HTML Yardım Dosyası (CHM) veya kötü amaçlı bir Excel belgesine sahiptir.
Çoğu durumda, Bitter APT, tehlikeye atılan sistemde planlanan görevler oluşturmak ve bir sonraki aşamayı indirmek için komutlar yürüten bir CHM yükü kullanır.
Bir Excel belgesi indirilen RAR eklerinde gizlendiğinde, planlanan görev, kötü niyetli belgenin açılmasıyla tetiklenen eski bir denklem düzenleyicisi güvenlik açığından yararlanarak eklenir.
Intezer, tehdit aktörünün muhtemelen CHM yüklerini tercih ettiğini, çünkü hedefin Microsoft Office'in savunmasız bir sürümünü kullanmasını gerektirmediği, LZX sıkıştırması sayesinde statik analizleri atlayabileceğini ve çalışması için minimal kullanıcı etkileşimi gerektirdiğini söylüyor.
İkinci aşama yükü, bir CHM yükü kullanılırsa veya Excel belge yükü durumunda bir exe dosyası varsa bir MSI veya PowerShell dosyasıdır.
Tespit ve maruziyetten kaçınmak için ikinci aşama yükler boştur. Ancak, birinci aşama yükler, ihlal edilen cihaz hakkında bilgi saldırganın komut ve kontrol sunucusuna gönderdiğinde, bunun değerli bir hedef olup olmadığını belirleyecek ve gerçek kötü amaçlı yazılımları tehlikeye atılmış sisteme teslim edecektir.
Intezer'in analistleri bu kampanyada teslim edilen herhangi bir gerçek yükü alamadı, ancak anahtarlogerları, sıçanları (uzaktan erişim araçları) ve info-yöneticileri içerebileceklerini varsaydılar.
CHM dosyaları bir zamanlar yazılım belgeleri ve yardım dosyaları için popülerdi, ancak e -posta iletişiminde olmasın artık yaygın olarak kullanılmıyor.
E -posta alıcıları, ekli arşivlerde CHM dosyalarıyla karşılaşırken artan uyanıklık kullanmalıdır, çünkü bu dosyalar potansiyel olarak kötü niyetli içeriği barındırabilir.
Son olarak, arşivlerin kendileri de anti-virüs taramalarını atlayabildikleri için şüphe ile tedavi edilmelidir ve bu nedenle kötü niyetli olma olasılığı yüksektir.
Kış Vivern APT Hacker'ları kötü amaçlı yazılım yüklemek için sahte antivirüs taramaları kullanır
Iron Tiger Hackers, özel kötü amaçlı yazılımlarının Linux sürümünü oluşturdu
Ürün yazılımı yükseltmelerinden kurtulan kötü amaçlı yazılımlarla enfekte olan Sonicwall cihazları
Yeni kötü amaçlı yazılım varyantının algılamadan kaçacak “radyo sessizliği” modu var
Şüpheli Çinli Hacker'larla bağlantılı Fortinet sıfır gün saldırıları
Kaynak: Bleeping Computer