Hackers amargos de APT agregan Bangladesh a su lista de objetivos en el sur de Asia

Un actor de amenazas centrado en el espionaje conocido por apuntar a China, Pakistán y Arabia Saudita se ha expandido para fijar su mirada en las organizaciones gubernamentales de Bangladesh como parte de una campaña en curso que comenzó en agosto de 2021.

La firma de seguridad cibernética Cisco Talos atribuyó la actividad con confianza moderada a un grupo de piratas informáticos denominado Bitter APT basado en superposiciones en la infraestructura de comando y control (C2) con la de campañas anteriores montadas por el mismo actor.

"Bangladesh se ajusta al perfil que hemos definido para este actor de amenazas, que anteriormente se dirigía a países del sudeste asiático, incluidos China , Pakistán y Arabia Saudita", dijo Vitor Ventura, investigador principal de seguridad de Cisco Talos para EMEA y Asia, a The Hacker News.

Y ahora, en esta última campaña, han ampliado su alcance a Bangladesh. Cualquier país nuevo en el sudeste asiático que sea el objetivo de Bitter APT no debería ser una sorpresa".

Se sospecha que Bitter (también conocido como APT-C-08 o T-APT-17) es un grupo de piratería del sur de Asia motivado principalmente por la recopilación de inteligencia, una operación que se facilita mediante malware como BitterRAT, ArtraDownloader y AndroRAT. Los objetivos destacados incluyen los sectores de energía, ingeniería y gobierno.

Los primeros ataques que distribuyeron la versión móvil de BitterRAT se remontan a septiembre de 2014, y el actor tenía un historial de aprovechar las fallas de día cero ( CVE-2021-1732 y CVE-2021-28310 ) para su ventaja y lograr sus objetivos contradictorios.

talos

Y ahora, en esta última campaña, han ampliado su alcance a Bangladesh. Cualquier país nuevo en el sudeste asiático que sea el objetivo de Bitter APT no debería ser una sorpresa".

Se sospecha que Bitter (también conocido como APT-C-08 o T-APT-17) es un grupo de piratería del sur de Asia motivado principalmente por la recopilación de inteligencia, una operación que se facilita mediante malware como BitterRAT, ArtraDownloader y AndroRAT. Los objetivos destacados incluyen los sectores de energía, ingeniería y gobierno.

Los primeros ataques que distribuyeron la versión móvil de BitterRAT se remontan a septiembre de 2014, y el actor tenía un historial de aprovechar las fallas de día cero ( CVE-2021-1732 y CVE-2021-28310 ) para su ventaja y lograr sus objetivos contradictorios.

ZxxZ, llamado así por un separador utilizado por el malware al enviar información al servidor C2, es un ejecutable de Windows de 32 bits compilado en Visual C++.

"El troyano se hace pasar por un servicio de actualización de seguridad de Windows y permite que el actor malintencionado realice la ejecución remota de código, lo que permite al atacante realizar cualquier otra actividad mediante la instalación de otras herramientas", explicaron los investigadores.

Mientras que el documento RTF malicioso explota una vulnerabilidad de corrupción de memoria en el Editor de ecuaciones de Microsoft Office ( CVE-2017-11882 ), el archivo de Excel abusa de dos fallas de ejecución remota de código, CVE-2018-0798 y CVE-2018-0802 , para activar la secuencia de infección.

"Los actores a menudo cambian sus herramientas para evitar la detección o la atribución, esto es parte del ciclo de vida de un actor de amenazas que muestra su capacidad y determinación", dijo Ventura.

 

Fuente: Thehackernews.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies