Bitter APT использует старую уязвимость WinRAR для новых атак через бэкдор

Группа кибершпионажа, известная как Bitter (APT-Q-37), которая, как считается, действует из Южной Азии, использует новые скрытые методы для установки вредоносной программы- бэкдора на компьютеры, принадлежащие особо важным лицам.

Эта группа имеет долгую историю кражи конфиденциальной информации у организаций, особенно в правительственных учреждениях, электроэнергетической и военной промышленности в таких странах, как Китай и Пакистан.

Недавно Центр анализа угроз Qi'anxin раскрыл эти новые атаки, целью которых является развертывание единого бэкдора C#, который может удаленно загружать и запускать другое вредоносное программное обеспечение (EXE-файлы) на компьютере жертвы.

По словам исследователей, Bitter APT использует как минимум два разных метода для внедрения этого бэкдора, включая поддельный файл конференции и архивный файл.

Первый метод использует специальный файл Microsoft Office , в данном случае называемый «Nominated Officials for the Conference.xlam . Когда жертва активирует встроенные инструкции (макросы), отображается поддельное сообщение об ошибке «Ошибка анализа файла, содержимое повреждено», чтобы обмануть пользователя.

Тем временем макрос незаметно собирает код бэкдора C#, используя локальные инструменты компьютера (например, из .NET Framework ), чтобы превратить его в работающую программу ( vlcplayer.dll ). Кроме того, злоумышленники создают запланированную задачу с помощью скрипта, чтобы бэкдор оставался активным на компьютере, подключаясь к веб-адресу, связанному с группой, для получения дополнительных команд.

Это более хитрый метод из двух, включающий сжатый файл (архив RAR), который использует старую, неисправленную уязвимость в программном обеспечении WinRAR , точная уязвимость которой оставалась неясной на момент написания статьи.

Этот вредоносный файл RAR (под названием «Предоставление информации для сектора AJK.rar») содержит безобидный на вид файл Word, а также скрытый вредоносный файл шаблона под названием Normal.dotm .

Если пользователь извлекает этот архив, уязвимость позволяет Normal.dotm заменить настоящий файл шаблона в его системе. Когда жертва открывает любой документ Word , программа загружает подменённый шаблон, который затем подключается к удалённому серверу для запуска финальной программы-бэкдора ( winnsc.exe ), которая выполняет те же вредоносные действия, что и в режиме 1.

Цепочка атак (Источник: Qi'anxin Threat Intelligence)

Стоит отметить, что обе атаки в конечном итоге устанавливают один и тот же бэкдор C# для сбора базовой информации об устройстве. Исследователи отмечают, что инфраструктура, использованная в этих двух отдельных атаках, включая доменные имена, зарегистрированные в апреле этого года, однозначно указывает на группу Bitter.

«В двух вышеупомянутых атаках в конечном итоге используется один и тот же бэкдор C#, а сервер C&C связи бэкдора указывает на поддомен esanojinjasvc.com, который был зарегистрирован в апреле этого года, поэтому мы можем предположить, что эти образцы принадлежат одной и той же группе атак», — отметили исследователи в сообщении в блоге .

Чтобы оставаться в безопасности, Центр призывает пользователей быть крайне осторожными с неизвестными вложениями в электронные письма, обновлять программное обеспечение, такое как WinRAR, отключать макросы , отслеживать сетевой трафик на предмет подозрительной активности и использовать специализированные инструменты, такие как «песочница», для безопасной проверки ненадежных файлов.