导 读
2024 年 11 月,一个名为Bitter的疑似南亚APT组织瞄准了土耳其国防部门,传播了两个被追踪为 WmRAT 和 MiyaRAT 的 C++ 恶意软件家族。
Proofpoint 研究人员在一份报告中表示:“攻击链使用 RAR 存档中的备用数据流来传递快捷方式 (LNK) 文件,该文件在目标机器上创建了计划任务来拉取进一步的有效载荷。 ”
这家企业安全公司正在追踪名为 TA397 的威胁行为者。据了解,该攻击者至少从 2013 年开始活跃,也被称为 APT-C-08、APT-Q-37、Hazy Tiger 和 Orange Yali。
该黑客组织此前发动的攻击曾针对中国、巴基斯坦、印度、沙特阿拉伯和孟加拉国的实体,使用过BitterRAT、ArtraDownloader和 ZxxZ等恶意软件,表明其重点关注亚洲地区。
根据BlackBerry和Meta在 2019 年和 2022 年的报告,Bitter 还与导致 PWNDROID2 和 Dracarys 等 Android 恶意软件部署的网络攻击有关。
今年 3 月初,网络安全公司绿盟科技披露,某未具名的中国政府机构于 2024 年 2 月 1 日遭到 BitterAPT的鱼叉式网络钓鱼攻击,攻击中携带了一种可进行数据窃取和远程控制的木马。
Proofpoint 记录的最新攻击链涉及威胁组织使用有关马达加斯加公共基础设施项目的诱饵来诱使潜在受害者启动带有陷阱的 RAR 存档附件。
RAR 档案中有一个关于世界银行在马达加斯加基础设施建设公共倡议的诱饵文件、一个伪装成 PDF 的 Windows 快捷方式文件和一个包含 PowerShell 代码的隐藏备用数据流 ( ADS ) 文件。
ADS 是 Windows 新技术文件系统 (NTFS) 中引入的一项功能,用于将数据流附加到文件并进行访问。它可用于将其他数据偷偷放入文件中,而不会影响文件的大小或外观,从而为攻击者提供了一种隐蔽的方法在隐藏无害文件的文件记录中挂载恶意负载。
如果受害者启动 LNK 文件,其中一个数据流将包含用于检索世界银行网站上托管的诱饵文件的代码,而第二个 ADS 包含一个 Base64 编码的 PowerShell 脚本,用于打开诱饵文档并设置一个计划任务,负责从域 jacknwoods[.]com 获取最后阶段的有效载荷。
WmRAT和MiyaRAT都具有标准远程访问木马 (RAT) 功能,允许恶意软件收集主机信息、上传或下载文件、截取屏幕截图、获取地理位置数据、枚举文件和目录以及通过 cmd.exe 或 PowerShell 运行任意命令。
由于 MiyaRAT 仅在少数几次行动中被有选择地部署,因此人们认为它仅用于对付高价值目标。
Proofpoint 表示:“这些活动几乎肯定是为了南亚某国政府的利益而进行的情报收集工作。他们持续利用计划任务与他们的临时域进行通信,将恶意后门部署到目标组织中,目的是获取特权信息和知识产权。”
技术报告:
https://www.proofpoint.com/us/blog/threat-insight/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats
https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh/
https://nsfocusglobal.com/bitter-apt-targets-chinese-government-agency/
新闻链接:
https://thehackernews.com/2024/12/bitter-apt-targets-turkish-defense.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
黑客利用 Microsoft MSC 文件在针对巴基斯坦的攻击中部署混淆后门
https://thehackernews.com/2024/12/hackers-use-microsoft-msc-files-to.html
Mask APT 再次出现,拥有复杂的多平台恶意软件库
https://thehackernews.com/2024/12/the-mask-apt-resurfaces-with.html
Bitter APT 利用 WmRAT 和 MiyaRAT 恶意软件攻击土耳其国防部门
https://thehackernews.com/2024/12/bitter-apt-targets-turkish-defense.html
一般威胁事件
General Threat Incidents
FBI 警告称 HiatusRAT 可能对摄像机、DVR 系统发起攻击
https://www.securityweek.com/fbi-warns-of-hiatusrat-attacks-on-cameras-dvr-systems/
攻击者利用 Microsoft Teams 和 AnyDesk 部署 DarkGate 恶意软件
https://thehackernews.com/2024/12/attackers-exploit-microsoft-teams-and.html
黑客利用 Webview2 部署 CoinLurker 恶意软件并逃避安全检测
https://thehackernews.com/2024/12/hackers-exploit-webview2-to-deploy.html
新的虚假 Ledger 数据泄露电子邮件试图窃取加密钱包
https://www.bleepingcomputer.com/news/security/new-fake-ledger-data-breach-emails-try-to-steal-crypto-wallets/
黑客泄露思科 4.5TB 数据
https://hackread.com/hackers-leak-partial-cisco-data-4-5tb-exposed-records/
美国私募股权公司收购以色列间谍软件公司 Paragon
https://therecord.media/paragon-bought-private-equity-american
漏洞事件
Vulnerability Incidents
CISA 警告 Adobe ColdFusion 和 Windows 漏洞可能被利用
https://www.securityweek.com/cisa-warns-of-exploited-adobe-coldfusion-windows-vulnerabilities/
最近修补的严重 Apache Struts 2 漏洞 (CVE-2024-53677) 正被积极利用
https://www.bleepingcomputer.com/news/security/new-critical-apache-struts-flaw-exploited-to-find-vulnerable-servers/
Azure 数据工厂漏洞暴露云基础设施
https://www.darkreading.com/cloud-security/azure-data-factory-bugs-expose-cloud-infrastructure
OpenWrt 严重漏洞使设备面临恶意固件注入风险
https://thehackernews.com/2024/12/critical-openwrt-vulnerability-exposes.html
戴尔产品存在严重漏洞,可导致攻击者入侵受影响系统
https://cybersecuritynews.com/dell-vulnerabilities-alert/
部分高通 CPU 在主流 Linux 上暴露于 Spectre 漏洞
https://www.phoronix.com/news/Qualcomm-Spectre-Mainline-Patch
对 Cleo 文件传输软件中严重漏洞的利用仍在继续
https://www.cybersecuritydive.com/news/security-cleo-file-transfer-cve-delayed/735517
锐捷Reyee云管理平台发现严重漏洞
https://www.securityweek.com/critical-vulnerabilities-found-in-ruijie-reyee-cloud-management-platform/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):Bitter APT 利用 WmRAT 和 MiyaRAT 恶意软件攻击土耳其国防部门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论