Posté le mai 13, 2022 à 8:32
LE GROUPE DE HACKERS APT BITTER TOURNE MAINTENANT SON ATTENTION VERS LE BANGLADESH
Une campagne de piratage ciblant plusieurs pays d’Asie du Sud a décidé d’inclure les organisations gouvernementales du Bangladesh parmi ses cibles. La menace axée sur l’espionnage a débuté en août 2021 et s’est étendue en termes de nombre de réalisations de piratage et d’affiliés.
Le groupe de hackers et ses activités ont été découverts par la société de sécurité Cisco Talos qui a attribué les attaques avec une assurance modérée au groupe APT Bitter.
Un chercheur en sécurité de haut niveau de Cisco Talos, noté pour la région EMEA, a déclaré que le Bangladesh correspond au profil des cibles que le groupe de hackers veut attaquer. Parmi les autres pays ciblés par les hackers dans la région asiatique figurent le Pakistan, la Chine et l’Arabie Saoudite.
Le groupe APT Bitter serait composé de quelques hackers originaires d’Asie du Sud. Le groupe est motivé par la collecte de renseignements, mais on ne sait pas encore s’il est parrainé par un gouvernement. Il facilite ses opérations par le biais de logiciels malveillants tels qu’AdtroRAT, AntraDownloader et BitterRAT. Le groupe cible les organisations gouvernementales, les entreprises du secteur de l’ingénierie, ainsi que celles du secteur de l’énergie.
Les hackers utilisent des méthodes de phishing pour tromper leurs cibles
La présente campagne cible une unité d’élite du gouvernement du Bangladesh à l’aide d’un message leurre à thème qui se rapporte prétendument aux tâches opérationnelles normales de l’organisation des cibles.
Le document leurre est généralement un e-mail de spear-phishing envoyé aux officiers du Rapid Action Battalion, en particulier à ceux de haut rang. Les e-mails contiennent soit une feuille de calcul Microsoft Excel, soit un document RTF malveillant conçu pour exploiter des failles connues.
En outre, les informations de l’en-tête d’origine et l’adresse IP ont montré que les e-mails provenaient de serveurs basés au Pakistan. L’acteur de la menace a également falsifié les détails de l’expéditeur pour faire croire qu’il s’agissait d’organisations gouvernementales Pakistanaises.
Certaines des fausses adresses e-mail d’expéditeur, telles que compilées par Talos, comprennent : arc@desto[.]gov[.]pk, cdrrab13bd@gmail[. ]com, chief_pia@pc[.]gov[.]pk, ddscm2@pof[.]gov[.]pk, mem_psd@pc[.]gov[.]pk,rab3tikatuly@gmail[.]com, et so.dc@pc[.]gov[.]pk.
Lorsque la victime clique sur le fichier du logiciel malveillant, celui-ci déclenche le lancement automatique de l’application Equation Editor. Celle-ci exécute les objets intégrés qui contiennent le shellcode pour exploiter les failles connues sous les noms CVE-2018-0802, CVE-2018-0798 et CVE-2017-11882. Il télécharge ensuite le cheval de Troie depuis le serveur d’hébergement avant de l’exécuter sur la machine de la victime. Toutes les vulnérabilités se trouvent dans Microsoft Office.
Le cheval de Troie se cache sous la forme d’un service de sécurité Windows
Selon Talos, le cheval de Troie se cache sous la forme d’un service de sécurité Windows qui permet à l’acteur malveillant de procéder à l’exécution de code à distance. Cela ouvre la voie à d’autres activités en installant d’autres outils. Une caractéristique unique du cheval de Troie est le fait qu’il s’exécute tout seul. Cependant, l’acteur de la menace dispose toujours d’autres téléchargeurs et RAT qu’il peut utiliser pour lancer d’autres attaques.
Les chercheurs en sécurité ont déclaré que de telles campagnes pourraient permettre aux hackers d’avoir accès aux informations confidentielles de l’organisation. Cela pourrait donner aux acteurs de la menace l’avantage dont ils ont besoin pour exploiter l’organisation encore davantage. Cela pourrait également donner à leurs manipulateurs un avantage considérable sur leurs concurrents, qu’il s’agisse d’un groupe parrainé par l’État ou non.
Outre le Bangladesh, le groupe pourrait également chercher à étendre sa campagne à d’autres pays d’Asie du Sud-Est. L’ampleur de la menace est considérable, selon les chercheurs de Talos, car ils utilisent des outils très sophistiqués pour leurs attaques de phishing.
En outre, Talos a observé que le groupe APT Bitter change habituellement ses outils d’attaque pour éviter d’être détecté. Cela fait partie du cycle de vie de la détermination et des capacités du groupe de hackers en tant que groupe de menaces dangereuses.
Les hackers utilisent une approche sophistiquée
Le document piégé exploite des vulnérabilités déjà connues dans le logiciel pour déployer un nouveau cheval de Troie appelé ZxxZ. Ce cheval de Troie porte le nom d’un séparateur utilisé par le logiciel malveillant lors du transfert d’informations vers le serveur de contrôle.
Le fichier Excel exploite deux vulnérabilités d’exécution de code à distance, tandis que le document RTF malveillant abuse d’un bug de corruption de mémoire pour activer la séquence d’infection, selon les chercheurs de Talos.
Les premières attaques qui ont diffusé la version mobile de Bitter Rate ont été découvertes en septembre 2014. Dès ses premières activités, l’acteur de la menace est connu pour exploiter les vulnérabilités de type « zero-day » – CVE-2021-28310 et CVE-2021-1732. Ils tirent parti de ces vulnérabilités pour accomplir leurs différents objectifs de piratage.
On ignore si les acteurs de la menace sont parrainés par un gouvernement ou s’ils mènent leurs opérations de manière indépendante. Mais le niveau de sophistication dont ils ont fait preuve suggère qu’ils pourraient travailler avec un gouvernement d’État. Talos indique que ses recherches sur les activités du groupe sont en cours, et que de plus amples détails seront fournis dès qu’ils seront disponibles pour aider les organisations et les institutions gouvernementales à mieux protéger leurs serveurs.
