یک گروه تهدید جاسوسی سایبری به نام ‘Bitter’ مشاهده شده است که سازمانهای دفاعی در ترکیه را با استفاده از یک خانواده بدافزار جدید به نام MiyaRAT هدف قرار میدهد.
MiyaRAT همراه با بدافزار WmRAT استفاده میشود، که یک بدافزار جاسوسی سایبری است و پیشتر با گروه Bitter مرتبط بوده است.
شرکت Proofpoint این کمپین را کشف کرد و گزارش میدهد که این بدافزار جدید احتمالاً برای اهداف باارزش بالا نگه داشته شده و فقط بهصورت پراکنده استفاده میشود.
Bitter یک گروه تهدید جاسوسی سایبری مشکوک اهل جنوب آسیا است که از سال ۲۰۱۳ فعال بوده و سازمانهای دولتی و حیاتی در آسیا را هدف قرار میدهد.
در سال ۲۰۲۲، آنها توسط Cisco Talos در حملاتی علیه دولت بنگلادش شناسایی شدند، جایی که از یک نقص اجرای کد از راه دور در Microsoft Office برای نصب تروجانها استفاده کردند.
سال گذشته، شرکت Intezer گزارش داد که گروه Bitter در حملات فیشینگ، خود را به جای سفارت قرقیزستان در پکن جا زده و شرکتهای مختلف انرژی هستهای و دانشگاهیان چینی را هدف قرار داده است.
سوءاستفاده از NTFS Data Stream
مهاجمان از ایمیلهای فریبدهنده مرتبط با پروژههای سرمایهگذاری خارجی برای جلب توجه قربانیان استفاده کردهاند و از فایلهای فشرده برای تحویل محتوا یا بدافزار مخرب بهره گرفتهاند.
فایل فشرده حاوی یک فایل PDF فریبدهنده (~tmp.pdf)، یک فایل میانبر که به شکل یک فایل PDF در آمده است (PUBLIC INVESTMENTS PROJECTS 2025.pdf.lnk)، و جریانهای داده جایگزین (ADS) با نامهای ‘Participation’ و ‘Zone.Identifier’ که در فایل RAR جاسازی شدهاند، میباشد.
اگر گیرنده فایل LNK را باز کند، اجرای کد PowerShell پنهانشده در جریان داده جایگزین (ADS) فعال میشود که فایل PDF فریبدهنده را برای منحرف کردن توجه باز میکند. در عین حال، یک وظیفه زمانبندیشده به نام ‘DsSvcCleanup’ ایجاد میکند که هر ۱۷ دقیقه یک بار فرمان مخرب curl را اجرا میکند.
پس از اجرای دستور، سیستم به دامنهای مشخص متصل شده و منتظر دریافت دستورات بیشتر است که میتواند شامل دانلود بدافزارهای اضافی، انجام عملیات شناسایی شبکه یا سرقت اطلاعات باشد.
شرکت Proofpoint گزارش میدهد که دستوری برای دریافت WmRAT (anvrsa.msi) در حملاتی که آنها بررسی کردند، در عرض ۱۲ ساعت ارسال شد.
بدافزارهای WmRAT و MiyaRAT
گروه Bitter ابتدا WmRAT را بر روی هدف پیادهسازی کرد، اما زمانی که این بدافزار نتوانست ارتباط با سرور فرمان و کنترل برقرار کند، MiyaRAT (با نام فایل gfxview.msi) را دانلود کرد.
هر دو بدافزار، تروجانهای دسترسی از راه دور (RAT) نوشتهشده به زبان C++ هستند که به گروه Bitter قابلیتهایی مانند استخراج داده، کنترل از راه دور، گرفتن عکس از صفحه، اجرای دستورات (CMD یا PowerShell) و نظارت بر سیستم را میدهند.
MiyaRAT جدیدتر و معمولاً پیشرفتهتر است، که دارای رمزگذاری پیشرفتهتر دادهها و ارتباطات، یک شل معکوس تعاملی، و کنترل بهبودیافته بر دایرکتوریها و فایلها میباشد.
استقرار انتخابیتر آن توسط گروه Bitter ممکن است نشان دهد که تهدیدکنندگان آن را برای اهداف باارزش بالا اختصاص میدهند و از این طریق قرار گرفتن آن در معرض تحلیلگران را به حداقل میرسانند.
شاخصهای نفوذ (IoCs) مرتبط با این حمله در انتهای گزارش Proofpoint فهرست شدهاند، در حالی که یک قانون YARA برای کمک به شناسایی تهدید در اینجا در دسترس است.
