Militärische Einrichtungen in Bangladesch sind weiterhin Ziel anhaltender Cyberangriffe durch eine fortschrittliche, hartnäckige Bedrohung, die als Bitter bekannt ist.
„Durch bösartige Dokumentdateien und Malware-Zwischenstufen betreiben die Bedrohungsakteure Spionage, indem sie Remote-Access-Trojaner einsetzen“, so das Cybersicherheitsunternehmen SECUINFRA in einem neuen Bericht, der am 5. Juli veröffentlicht wurde.
Die Erkenntnisse des Unternehmens mit Hauptsitz in Berlin bauen auf einem früheren Bericht von Cisco Talos vom Mai auf, in dem bekannt wurde, dass die Gruppe mit einer Backdoor namens ZxxZ nun auch Regierungsorganisationen in Bangladesch angreift.
Bitter, der auch unter den Codenamen APT-C-08 und T-APT-17 bekannt ist, soll mindestens seit Ende 2013 aktiv sein und hat mit verschiedenen Tools wie BitterRAT und ArtraDownloader bereits China, Pakistan und Saudi-Arabien ins Visier genommen.
Die jüngste von SECUINFRA beschriebene Angriffskette wurde vermutlich Mitte Mai 2022 durchgeführt und begann mit einem waffenfähigen Excel-Dokument, das wahrscheinlich über eine Spear-Phishing-E-Mail verbreitet wurde und beim Öffnen die Microsoft Equation Editor-Schwachstelle (CVE-2018-0798) ausnutzt, um die nächste Binärdatei von einem entfernten Server zu laden.
ZxxZ (oder MuuyDownloader vom Qi-Anxin Threat Intelligence Center), wie die heruntergeladene Nutzlast genannt wird, ist in Visual C++ implementiert und fungiert als Second-Stage-Implantat, mit dem der Angreifer weitere Malware installieren kann.
Die auffälligste Änderung an der Malware ist, dass sie das Trennzeichen „ZxxZ“ nicht mehr verwendet, wenn sie Informationen an den Command-and-Control-Server (C2) sendet, sondern einen Unterstrich.
Der Bedrohungsakteur setzt in seinen Kampagnen auch eine Hintertür namens Almond RAT ein, ein NET-basiertes RAT, das erstmals im Mai 2022 auftauchte und grundlegende Funktionen zum Sammeln von Daten sowie die Möglichkeit bietet, beliebige Befehle auszuführen. Außerdem nutzt das Implantat Verschleierungs- und String-Verschlüsselungstechniken, um der Entdeckung zu entgehen und die Analyse zu erschweren.
„Die Hauptziele von Almond RAT scheinen die Entdeckung des Dateisystems, die Datenexfiltration und die Möglichkeit zu sein, weitere Tools nachzuladen bzw. die Persistenz zu gewährleisten“, so die Forscher. „Das Design der Tools scheint so angelegt zu sein, dass es schnell geändert und an das aktuelle Angriffsszenario angepasst werden kann.