Ein auf Spionage ausgerichteter Bedrohungsakteur, der für seine Angriffe auf China, Pakistan und Saudi-Arabien bekannt ist, hat im Rahmen einer im August 2021 gestarteten Kampagne nun auch Regierungsorganisationen in Bangladesch ins Visier genommen.
Das Cybersicherheitsunternehmen Cisco Talos führt die Aktivitäten mit mäßiger Sicherheit auf eine Hackergruppe mit dem Namen Bitter APT zurück, da es Überschneidungen in der Befehls- und Kontrollinfrastruktur (C2) mit früheren Kampagnen desselben Akteurs gibt.
„Bangladesch passt in das Profil, das wir für diesen Akteur definiert haben, der zuvor südostasiatische Länder wie China, Pakistan und Saudi-Arabien ins Visier genommen hat“, sagte Vitor Ventura, leitender Sicherheitsforscher bei Cisco Talos für EMEA und Asien, gegenüber The Hacker News.
„Und jetzt, in dieser jüngsten Kampagne, haben sie ihre Reichweite auf Bangladesch ausgeweitet. Jedes neue Land in Südostasien, das von Bitter APT ins Visier genommen wird, sollte keine Überraschung sein.“
Es wird vermutet, dass es sich bei Bitter (auch bekannt als APT-C-08 oder T-APT-17) um eine südasiatische Hackergruppe handelt, die in erster Linie nachrichtendienstliche Informationen sammelt und dazu Malware wie BitterRAT, ArtraDownloader und AndroRAT einsetzt. Zu den bevorzugten Zielen gehören der Energie-, Technik- und Regierungssektor.
Die ersten Angriffe, bei denen die mobile Version von BitterRAT verbreitet wurde, gehen auf den September 2014 zurück. Der Akteur hat in der Vergangenheit bereits Zero-Day-Schwachstellen – CVE-2021-1732 und CVE-2021-28310 – zu seinem Vorteil genutzt, um seine Ziele zu erreichen.
Bei der jüngsten Kampagne, die auf eine Eliteeinheit der Regierung von Bangladesch abzielt, werden Spear-Phishing-E-Mails an hochrangige Beamte der Rapid Action Battalion Unit der Polizei von Bangladesch (RAB) gesendet.
Wie bei anderen Social-Engineering-Angriffen dieser Art üblich, sollen die E-Mails die Empfänger dazu verleiten, ein waffenfähiges RTF-Dokument oder eine Microsoft Excel-Tabelle zu öffnen, die bereits bekannte Schwachstellen in der Software ausnutzen, um einen neuen Trojaner mit dem Namen „ZxxZ“ zu installieren.
ZxxZ, so benannt nach einem Trennzeichen, das die Malware beim Zurücksenden von Informationen an den C2-Server verwendet, ist eine ausführbare 32-Bit-Windows-Datei, die in Visual C++ kompiliert wurde.
„Der Trojaner tarnt sich als Windows-Sicherheitsupdate-Dienst und ermöglicht es dem Angreifer, Remotecode auszuführen, indem er andere Tools installiert“, erklären die Forscher.
Während das bösartige RTF-Dokument eine Schwachstelle im Gleichungseditor von Microsoft Office ausnutzt (CVE-2017-11882), werden in der Excel-Datei zwei Schwachstellen zur Remotecodeausführung ausgenutzt (CVE-2018-0798 und CVE-2018-0802), um die Infektionssequenz zu aktivieren.
„Dies ist Teil des Lebenszyklus eines Bedrohungsakteurs, der seine Fähigkeiten und Entschlossenheit unter Beweis stellt“, so Ventura.