Un presunto grupo de amenazas de ciberespionaje del sur de Asia conocido como Amargo Se dirigió a una organización del sector de defensa turco en noviembre de 2024 para entregar dos familias de malware C++ rastreadas como WmRAT y MiyaRAT.
“La cadena de ataque utilizó flujos de datos alternativos en un archivo RAR para entregar un archivo de acceso directo (LNK) que creaba una tarea programada en la máquina objetivo para extraer más cargas útiles”, dijeron los investigadores de Proofpoint Nick Attfield, Konstantin Klinger, Pim Trouerbach y David Galazin. dijo en un informe compartido con The Hacker News.
La empresa de seguridad empresarial está rastreando al actor de amenazas con el nombre TA397. Conocido por estar activo desde al menos 2013, el adversario también se conoce como APT-C-08, APT-Q-37, Hazy Tiger y Orange Yali.
Los ataques anteriores realizados por el grupo de hackers se han dirigido a entidades en China, Pakistán, India, Arabia Saudita y Bangladesh con malware como BitterRAT, ArtraDownloader y ZxxZ, lo que indica un fuerte enfoque asiático.
Bitter también se ha relacionado con ataques cibernéticos que llevaron a la implementación de cepas de malware para Android como PWNDROID2 y Dracarys, según informes de BlackBerry y Meta en 2019 y 2022, respectivamente.
A principios de marzo, la empresa de ciberseguridad NSFOCUS reveló que una agencia gubernamental china anónima fue sometida a un ataque de phishing por parte de Bitter el 1 de febrero de 2024, que entregó un troyano capaz de robar datos y controlarlos de forma remota.
La última cadena de ataque documentada por Proofpoint involucró al actor de amenazas utilizando un señuelo sobre proyectos de infraestructura pública en Madagascar para atraer a posibles víctimas a lanzar el archivo adjunto RAR con trampa explosiva.
Dentro del archivo RAR había un archivo señuelo sobre una iniciativa pública del Banco Mundial en Madagascar para el desarrollo de infraestructura, un archivo de acceso directo de Windows disfrazado de PDF y un archivo de flujo de datos alternativo (ADS) oculto que contenía código PowerShell.
ADS se refiere a una característica que se introdujo en el sistema de archivos de nueva tecnología (NTFS) utilizado por Windows para adjuntar y acceder a flujos de datos a un archivo. Se puede utilizar para introducir de contrabando datos adicionales en un archivo sin afectar su tamaño o apariencia, brindando así a los actores de amenazas una forma furtiva de ocultar la presencia de una carga útil maliciosa dentro del registro de un archivo inofensivo.
Si la víctima inicia el archivo LNK, uno de los flujos de datos contiene código para recuperar un archivo señuelo alojado en el sitio del Banco Mundial, mientras que el segundo ADS incluye un script de PowerShell codificado en Base64 para abrir el documento señuelo y configurar una tarea programada responsable. para recuperar las cargas útiles de la etapa final del dominio jacknwoods(.)com.
Tanto WmRAT como MiyaRAT, como lo detalló anteriormente QiAnXin, vienen con capacidades estándar de troyano de acceso remoto (RAT), lo que permite que el malware recopile información del host, cargue o descargue archivos, tome capturas de pantalla, obtenga datos de geolocalización, enumere archivos y directorios, y ejecute archivos arbitrarios. comandos a través de cmd.exe o PowerShell.
Se cree que el uso de MiyaRAT está reservado para objetivos de alto valor debido al hecho de que se ha implementado selectivamente en sólo un puñado de campañas.
“Es casi seguro que estas campañas son esfuerzos de recopilación de inteligencia en apoyo de los intereses de un gobierno del sur de Asia”, dijo Proofpoint. “Utilizan persistentemente tareas programadas para comunicarse con sus dominios provisionales y desplegar puertas traseras maliciosas en organizaciones objetivo, con el fin de obtener acceso a información privilegiada y propiedad intelectual”.
