Atak cybernetyczny na turecką branżę obronną: Nowe zagrożenie malware
W listopadzie 2024 roku grupa cyberprzestępcza o nazwie Bitter po raz kolejny przeprowadziła skoordynowany atak szpiegowski, tym razem wymierzony w organizację z sektora obronnego w Turcji. To południowoazjatyckie ugrupowanie, znane z wcześniejszych ataków, użyło dwóch zaawansowanych rodzin malware, nazwanych WmRAT i MiyaRAT, napisanych w języku C++. Eksperci ds. bezpieczeństwa przeciwdziałania zagrożeniom z Proofpoint opisali szczegóły tej kampanii, w której zastosowano innowacyjne techniki omijania zabezpieczeń, w tym wykorzystanie ukrytych strumieni danych (ADS) w archiwum RAR.
Zaawansowana technika ataku
Sekwencja ataku opierała się na użyciu ukrytych strumieni danych (Alternate Data Streams) w załączniku RAR. W środku znajdował się plik skrótu LNK podszywający się pod dokument PDF. Uruchomienie tego pliku powodowało stworzenie zaplanowanego zadania w systemie ofiary, którego celem było pobranie dodatkowych ładunków malware. Wśród plików znajdowała się także przynęta w postaci dokumentu na temat projektów infrastrukturalnych zrealizowanych przez Bank Światowy na Madagaskarze. Przeprowadzony atak ukazuje rosnące umiejętności grupy Bitter w zakresie maskowania szkodliwego kodu.
Warto zauważyć, że ADS, zaimplementowane w systemie NTFS przez Microsoft Windows, umożliwiają dołączanie i odczytywanie dodatkowych strumieni danych w pliku bez zmiany jego podstawowych parametrów, takich jak rozmiar czy format. To popularna technika stosowana przez cyberprzestępców, którzy chcą ukryć złośliwe ładunki i ułatwić im prześlizgnięcie się przez mechanizmy ochronne systemów informatycznych.
Kto stoi za atakiem?
Proofpoint, znana firma zajmująca się bezpieczeństwem, śledzi działania grupy Bitter (znanej również jako TA397) od wielu lat. Grupa, aktywna co najmniej od 2013 roku, występuje także pod nazwami APT-C-08, APT-Q-37, Hazy Tiger czy Orange Yali. Historycznie, Bitter koncentruje swoje działania na krajach Azji, takich jak Chiny, Pakistan, Indie, Arabia Saudyjska czy Bangladesz. Wśród ich wcześniejszych narzędzi znaleziono nie tylko wspomniane WmRAT i MiyaRAT, ale również malware takie jak BitterRAT, ArtraDownloader oraz ZxxZ.
Działania grupy są niemal zawsze ukierunkowane na kradzież danych i zdobywanie cennych informacji wywiadowczych, co sugeruje, że ich ataki mogą być wspierane przez jeden z południowoazjatyckich rządów. W marcu 2024 roku firma NSFOCUS ujawniła, że grupa Bitter przeprowadziła atak phishingowy wymierzony w nieujawnioną agencję rządową w Chinach. Atak ten opierał się na spreparowanym e-mailu oraz trojanie zdolnym do przejęcia pełnej kontroli nad zainfekowanym urządzeniem.
Celowy wybór narzędzi
Obserwacje prowadzone przez badaczy bezpieczeństwa sugerują, że zarówno WmRAT, jak i MiyaRAT zostały zaprojektowane z myślą o zaawansowanych cyberkampaniach. Funkcjonalności tych trojanów obejmują zbieranie informacji o systemie operacyjnym, przesyłanie plików, wykonywanie zrzutów ekranu, określanie geolokalizacji, przeglądanie struktury katalogów oraz możliwość wykonywania dowolnych poleceń za pośrednictwem cmd.exe lub PowerShell.
MiyaRAT, w szczególności, wydaje się być wykorzystywany wyłącznie w kampaniach wysokiego ryzyka, co wskazuje na jego selektywne zastosowanie w atakach na organizacje posiadające kluczowe zasoby lub informacje. Grupa posługuje się zaplanowanymi zadaniami w systemach ofiar, które regularnie komunikują się ze złośliwymi domenami, aby pobierać dodatkowe moduły malware.
Podsumowanie i wnioski
Eksperci ds. cyberbezpieczeństwa są zgodni, że kampanie prowadzone przez grupę Bitter są częścią długofalowych działań wywiadowczych mających na celu wsparcie interesów politycznych i gospodarczych jednego z państw południowoazjatyckich. Ataki takie jak ten wymierzony w turecką branżę obronną podkreślają potrzebę ciągłego monitorowania i reagowania na nowe zagrożenia.
Podnoszenie świadomości na temat metod wykorzystywanych przez cyberprzestępców oraz regularne wdrażanie aktualizacji zabezpieczeń odgrywają kluczową rolę w walce z tego typu zagrożeniami. Ataki ukierunkowane, takie jak ten, nie tylko podnoszą poprzeczkę w zakresie technologii stosowanej przez przestępców, ale również stanowią poważne zagrożenie dla bezpieczeństwa strategicznego i gospodarczego organizacji na całym świecie.
