Bitter APT组织瞄准中国核能领域

Intezer研究人员报告称,一个名为Bitter的南亚间谍组织正瞄准中国核能行业。

Intezer研究人员发现了一场针对中国核能行业的网络间谍活动,他们将其与Bitter APT组织联系起来。

Bitter APT组织是一个至少从2021年开始活跃的南亚网络间谍组织。该组织专注于能源和政府部门,过去该组织的目标是巴基斯坦、中国、孟加拉国和沙特阿拉伯的组织。 

在最近的攻击中,专家注意到第一阶段有效载荷的更新和新混淆层的实施以避免检测。威胁行为者还使用额外的诱饵进行社会工程。

专家确定了针对中国核能行业收件人的网络钓鱼活动中使用的七封网络钓鱼电子邮件。这些网络钓鱼邮件冒充吉尔吉斯斯坦驻中国大使馆,邀请他们参加与收件人相关主题的会议。

“我们发现了七封假装来自吉尔吉斯斯坦大使馆的电子邮件,被发送给中国核能行业的收件人。在一些电子邮件中,学术界的人和实体也成为目标,也与核能有关。网络钓鱼电子邮件包含一个诱饵,邀请收件人参加与他们相关的主题会议。”“这些诱饵旨在通过社会工程让收件人下载并打开包含 Microsoft 编译 HTML 帮助 (CHM) 或 Excel 有效负载的附加 RAR 文件。”

这些消息试图诱骗收件人打开附加的 RAR 存档,其中包含创建的 CHM 或 Excel 有效载荷,以实现持久性并从 C2 获取额外的有效载荷。

苦APT中国核能产业

“Excel有效负载 仅包含一个公式编辑器漏洞利用程序,它可以创建两个不同的计划任务。文件中没有诱饵。”“一个计划任务(如下所示)每 15 分钟运行一次,使用cURL下载下一阶段的 EXE 负载,同时向攻击者发送受感染机器的名称。据观察,Bitter APT在2021/2022年使用了这些策略。”

该APT组织最常使用的文件是CHM文件,它们可用于以低用户交互执行任意代码。

Intezer发现的变体之一创建了一个计划任务,以使用msiexec执行远程 MSI负载。Intezer专家只能检索到空的MSI文件,这些文件可能用于侦察,如果目标看起来很有希望,则可以用实际有效载荷替换这些文件。

专家分析的另一个版本的CHM文件正在通过编码的PowerShell命令阶段执行类似的活动。

“多年来,Bitter APT一直在使用包括网络钓鱼在内的多种策略进行间谍活动,以实现他们的目标。建议政府、能源和工程领域的实体,尤其是亚太地区的实体在收到电子邮件时保持警惕,尤其是那些声称来自其他外交实体的电子邮件。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5479.html

标签