Kelompok yang diduga merupakan ancaman spionase dunia maya di Asia Selatan dikenal sebagai Pahit menargetkan organisasi sektor pertahanan Turki pada bulan November 2024 untuk mengirimkan dua keluarga malware C++ yang dilacak sebagai WmRAT dan MiyaRAT.
“Rantai serangan menggunakan aliran data alternatif dalam arsip RAR untuk mengirimkan file pintasan (LNK) yang membuat tugas terjadwal pada mesin target untuk menarik muatan lebih lanjut,” peneliti Proofpoint Nick Attfield, Konstantin Klinger, Pim Trouerbach, dan David Galazin kata dalam laporan yang dibagikan dengan The Hacker News.
Perusahaan keamanan perusahaan sedang melacak pelaku ancaman dengan nama TA397. Dikenal aktif setidaknya sejak tahun 2013, musuh ini juga disebut sebagai APT-C-08, APT-Q-37, Hazy Tiger, dan Orange Yali.
Serangan sebelumnya yang dilakukan oleh kelompok peretas ini telah menargetkan entitas di Tiongkok, Pakistan, India, Arab Saudi, dan Bangladesh dengan malware seperti BitterRAT, ArtraDownloader, dan ZxxZ, yang menunjukkan fokus utama di Asia.
Bitter juga dikaitkan dengan serangan siber yang menyebabkan penyebaran jenis malware Android seperti PWNDROID2 dan Dracarys, berdasarkan laporan dari BlackBerry dan Meta masing-masing pada tahun 2019 dan 2022.
Awal bulan Maret ini, perusahaan keamanan siber NSFOCUS mengungkapkan bahwa sebuah lembaga pemerintah Tiongkok yang tidak disebutkan namanya menjadi sasaran serangan spear-phishing oleh Bitter pada tanggal 1 Februari 2024, yang mengirimkan trojan yang mampu mencuri data dan mengendalikannya dari jarak jauh.
Rantai serangan terbaru yang didokumentasikan oleh Proofpoint melibatkan pelaku ancaman yang menggunakan iming-iming tentang proyek infrastruktur publik di Madagaskar untuk menarik calon korban agar meluncurkan lampiran arsip RAR yang menjadi jebakan.
Di dalam arsip RAR terdapat file umpan tentang inisiatif publik Bank Dunia di Madagaskar untuk pembangunan infrastruktur, file pintasan Windows yang menyamar sebagai PDF, dan file aliran data alternatif (ADS) tersembunyi yang berisi kode PowerShell.
ADS mengacu pada fitur yang diperkenalkan di Sistem File Teknologi Baru (NTFS) yang digunakan oleh Windows untuk melampirkan dan mengakses aliran data ke file. Ini dapat digunakan untuk menyelundupkan data tambahan ke dalam file tanpa mempengaruhi ukuran atau tampilannya, sehingga memberikan pelaku ancaman cara licik untuk menyembunyikan keberadaan muatan berbahaya di dalam catatan file dari file yang tidak berbahaya.
Jika korban meluncurkan file LNK, salah satu aliran data berisi kode untuk mengambil file umpan yang dihosting di situs Bank Dunia, sedangkan ADS kedua menyertakan skrip PowerShell berkode Base64 untuk membuka dokumen umpan dan mengatur tugas terjadwal yang bertanggung jawab. untuk mengambil muatan tahap akhir dari domain jacknwoods[.]com.
Baik WmRAT dan MiyaRAT, seperti yang dijelaskan sebelumnya oleh QiAnXin, hadir dengan kemampuan trojan akses jarak jauh (RAT) standar, memungkinkan malware mengumpulkan informasi host, mengunggah atau mengunduh file, mengambil tangkapan layar, mendapatkan data geolokasi, menghitung file dan direktori, dan menjalankan secara sewenang-wenang. perintah melalui cmd.exe atau PowerShell.
Penggunaan MiyaRAT diyakini hanya ditujukan untuk target bernilai tinggi karena fakta bahwa MiyaRAT telah diterapkan secara selektif hanya dalam beberapa kampanye.
“Kampanye ini hampir pasti merupakan upaya pengumpulan intelijen untuk mendukung kepentingan pemerintah Asia Selatan,” kata Proofpoint. “Mereka terus-menerus memanfaatkan tugas-tugas terjadwal untuk berkomunikasi dengan domain pementasan mereka untuk menyebarkan pintu belakang berbahaya ke organisasi target, dengan tujuan mendapatkan akses ke informasi istimewa dan kekayaan intelektual.”
