Die Hackergruppe Bitter führt gezielte Phishing Attacken mit RATs durch, wie die Analysten von Proofpoint berichten. The Bitter hacking group is conducting targeted phishing attacks using RATs, according to Proofpoint analysts.
Der Threat Actor (TA) 397 Bitter nutzt Spear Phising, um zwei verschiedene Remote Access Trojaner (RAT) zu installieren. Die Kampagne zeigt charakteristische Merkmale von TA397 und deutet auf eine Weiterentwicklung ihrer Taktiken. Die von Proofpoint durchgeführte Zeitzonenanalyse (UTC+5:30) und weitere Indizien legen nahe, dass die Gruppe im Auftrag einer südasiatischen Regierung operiert.

Die Cybercrime-Gruppe, die für Spionageangriffe in Europa und dem asiatisch-pazifischen Raum bekannt ist, nutzte dabei neue Angriffsmethoden, die eine ihre bisherigen Taktiken, Techniken und Verfahren (TTPs) weiterentwickeln. Insbesondere die Verwendung von alternativen Datenströmen (ADS) innerhalb von RAR-Archiven ist dabei bemerkenswert.

Der Angriff begann mit einer Spear-Phishing-E-Mail, die von einem kompromittierten Konto einer Regierungsorganisation stammte. Die Mail enthielt als Dateianhang ein RAR-Archiv mit einer harmlosen PDF-Datei über ein Weltbank-Infrastrukturprojekt in Madagaskar. Versteckt im Archiv befanden sich jedoch auch eine getarnte Verknüpfungsdatei (LNK) sowie versteckte ADS-Dateien, die einen bösartigen PowerShell-Code enthielten.

Bei Öffnung der LNK-Datei wurde der versteckte PowerShell-Code ausgeführt, während die harmlose PDF angezeigt wurde. Der Code erstellte eine geplante Aufgabe („DsSvcCleanup“), die alle 17 Minuten Systeminformationen an einen Staging-Server (jacknwoods[.]com) sendete. Die Angreifer reagierten manuell auf diese Anfragen und übertrugen in diesem Fall zwei verschiedene Malware-Familien: WmRAT und MiyaRAT. Zusätzlich erbeuteten sie Informationen über das Zielsystem, einschließlich laufender Prozesse und installierter Antivirensoftware.

WmRAT ist ein in C++ geschriebener Remote Access Trojaner (RAT), der Sockets zur Kommunikation verwendet und über Standard-RAT-Funktionen verfügt. Der RAT kann grundlegende Hostinformationen sammeln, Dateien hoch- und herunterladen, Screenshots erstellen, Geolokalisierungsdaten des Zielcomputers abrufen, Verzeichnisse und Dateien auflisten und beliebige Befehle über cmd oder PowerShell ausführen. Die Malware generiert auch eine Reihe von Junk-Threads, um Forscher oder Responder, die die Proben untersuchen, in die Irre zu führen.

Die Malware beginnt mit dem Kopieren von Zeitzoneninformationen durch den Aufruf von GetDynamicTimeZoneInformation. Diese Malware verwendet keine einzigartigen oder interessanten Sleep-Techniken, sondern die klassische Methode des direkten Aufrufs von Sleep. Dies geschieht in der gesamten Malware in verschiedenen Phasen und es gibt auch eine spezielle Funktion, die nur dazu dient, einen langen Ruhezustand zu initiieren.

MiyaRAT ist ebenfalls in C++ geschrieben und enthält ähnliche Funktionen wie WmRAT. Die Malware beginnt mit der Entschlüsselung ihres fest kodierten C2-Servers. Diese Domäne wird entschlüsselt, indem der verschlüsselte Wert genommen und das passende Zeichen in der Zeichenfolge „doobiedoodooziezzz“ davon subtrahiert wird.

Threat Actor (TA) 397 Bitter uses spear phishing to install two different remote access trojans (RATs). The campaign shares characteristics of TA397 and indicates an evolution in tactics. The time zone analysis (UTC+5:30) by Proofpoint and other indicators suggest that the group is working on behalf of a South Asian government.

The cybercrime group, known for espionage attacks in Europe and the Asia-Pacific region, used new attack methods that are an evolution of their previous tactics, techniques and procedures (TTPs). Of particular note is the use of alternative data streams (ADS) within RAR archives.

The attack began with a spear phishing email that originated from a compromised government organization account. The email contained a RAR archive with an innocent PDF file attached about a World Bank infrastructure project in Madagascar. However, hidden within the archive was a disguised shortcut file (LNK) and hidden ADS files containing malicious PowerShell code.

When the LNK file was opened, the hidden PowerShell code was executed while the innocent PDF file was displayed. The code created a scheduled task (DsSvcCleanup) that sent system information to a staging server (jacknwoods[.]com) every 17 minutes. The attackers manually responded to these requests and in this case delivered two different malware families: WmRAT and MiyaRAT. They also obtained information about the target system, including running processes and installed antivirus software.

WmRAT is a remote access trojan (RAT) written in C++ that uses sockets for communications and has standard RAT functionality. The RAT can gather basic host information, upload or download files, take screenshots, get geolocation data of the target machine, enumerate directories and files, and run arbitrary commands via cmd or PowerShell. The malware also generates a number of junk threads, potentially to mislead researchers or responders investigating the samples.

The malware starts by copying timezone information from calling GetDynamicTimeZoneInformation. Rather than any unique or interesting sleep techniques, this malware uses the classic method of directly calling Sleep. This is done throughout the malware at various stages as well as having a dedicated function serving the purpose of just initiating a long sleep.

MiyaRAT is also written in C++ and contains similar functionality to WmRAT. The malware starts by decrypting its hardcoded C2 server. This domain is decoded by taking the encoded value and subtracting the matching character in the string “doobiedoodooziezzz” from it.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner