【安全资讯】BITTER APT组织近期针对军工行业的攻击活动

匿名用户 2021-10-19 07:30:30 3493人浏览

引言

BITTER组织是疑似具有南亚背景的APT组织,长期针对东亚,南亚等地区进行攻击活动,主要针对政府、军工业、电力、核能等单位进行定向攻击,窃取敏感资料。研究人员捕获了数百个蔓灵花(BITTER)组织在2021年2月到9月的攻击样本。在攻击活动中,攻击者主要以军事、能源、财务等为主题,通过向受害者发送钓鱼邮件,诱使受害者打开包含恶意CHM或RTF的RAR压缩包附件,执行内置的恶意脚本,释放其常用的.NET远控程序。

 

简况

部分样本信息如下:

文件名

MD5

样本类型

C2

下XXXXX程.doc/supply enquiry.doc

72951851eb3f1601be564a60a60a7b22

RTF

axopcustomersvc[.]com

20210408.rar

d91b888205ac1ca80c40426b9f5a6105

CHM

youxiangxiezhu[.]com

Invoice.rar

160610cd728a06b86cf5ac08b62c62a3

XXXX通知.rar

ab602191e08ea8b9b18b40728252048a

nesiallservice[.]net

20210621.rar

7abf5b34b8ec15aaecbddec4ae452ca2

supply enquiry.rar

ad5c4ce77a40e9f90b622e1a7afd359f

Radiometric calibration.rar

df606c271baa78540f0557f2a0fa4d63

Tender_enquiry.rar

c816c73f9da083ece3e901694675fb75

下XXXXX程_20210616.rar

9d8d2f6de547dc92137b5194c55e9a3c

下XXXXX程.zip

056ca31a3a93b1776622ec1b08b33b29

Salient point on ATGM System.rar

4f755deb15db00f52755760ae4d907aa

CHM样本第一阶段的攻击通过邮件展开,包含恶意CHM的RAR压缩包的钓鱼邮件如下:

此次捕获的样本大多为包含CHM恶意文件的RAR压缩包,启动CHM后会执行内置的恶意脚本。该脚本会创建名为AdobeUpdater的任务计划,运行间隔周期为15分钟,从远程服务器下载msi并执行。msi执行后释放文件C:\intel\logs\msheader2.exe,该文件为Bitter组织常用的.net远控程序。msheader2.exe运行后首先进行初始化操作,其功能包括磁盘信息获取、文件传输、执行shell命令等。初始化完成后,便开始连接C2 45.11[.]19.170:80,与之进行通信。连接成功后读取C2 指令。之后,通过异步回调函数执行相应远控功能。

 

RTF样本利用CVE-2018-0798漏洞执行shellcode,创建任务计划,下载msi文件执行。

 

此次攻击活动手法与BITTER组织“Operation Magichm”攻击活动类似。即通过邮件投递包含恶意CHM文件的RAR压缩包,执行CHM文件内置的恶意脚本,从远程服务器下载后续恶意程序执行。两次攻击活动的CHM恶意脚本大体一致。攻击活动所使用的.NET远控程序,与之前公开披露的BITTER .NET远控功能完全一致,C2均为45.11[.]19.170。此次捕获的RTF样本与之前披露的BITTER组织使用的RTF文件类似。因此研究人员将发现的样本归因于BITTER APT组织。

 

总结

BITTER APT组织是一个长期活跃的境外网络攻击组织,且长期针对东亚地区开展攻击活动。就BITTER此次攻击活动来看,时间跨度大,投递的钓鱼邮件数量多,说明BITTER APT组织对企业进行着频繁的试探和攻击。

失陷指标(IOC)6
APT BITTER 军工 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。