【安全资讯】网络间谍组织'Bitter'利用新型MiyaRAT恶意软件攻击防御机构

概要：

网络间谍组织'Bitter'近期针对土耳其的防御机构展开了一系列攻击，使用了一种名为MiyaRAT的新型恶意软件。该组织自2013年活跃以来，已多次针对政府和关键组织，显示出其对高价值目标的持续关注。

主要内容：

Bitter组织被认为是一个来自南亚的网络间谍威胁团体，近年来频繁针对亚洲的政府和关键基础设施。根据Proofpoint的报告，MiyaRAT与之前已知的WmRAT恶意软件一起使用，后者也与Bitter相关联。此次攻击的起点是通过电子邮件发送的外资项目诱饵，附带的RAR档案中包含伪装成PDF的快捷方式文件和嵌入的替代数据流（ADS）。

当收件人打开该快捷方式文件时，隐藏在ADS中的PowerShell代码被触发，执行恶意命令并创建一个定时任务，每17分钟运行一次恶意curl命令，连接到一个暂存域以接收进一步的指令。Bitter在首次尝试使用WmRAT失败后，转而下载MiyaRAT，后者具备更先进的数据加密和远程控制功能。

MiyaRAT的选择性部署表明，Bitter可能将其保留用于高价值目标，以减少被分析的风险。此次攻击的指示性证据（IoCs）已在Proofpoint的报告中列出，相关的YARA规则也可用于检测该威胁。