Bitter」として知られるサイバースパイ脅威グループが、MiyaRATと名付けられた新種のマルウェア・ファミリーを使用してトルコの防衛組織を標的としていることが確認された。
MiyaRATは、以前Bitterと関連していたサイバースパイ活動用マルウェアであるWmRATマルウェアとともに使用されています。
Proofpointはこのキャンペーンを発見し、この新しいマルウェアは価値の高いターゲットにのみ使用され、散発的にしか展開されない可能性が高いと報告しています。
Bitterは、2013年から活動している南アジアのサイバースパイ集団で、アジアの政府機関や重要組織を標的としています。
2022年、彼らはバングラデシュ政府に対する攻撃でCisco Talosによって発見され、トロイの木馬を落とすためにMicrosoft Officeのリモートコード実行欠陥を使用していた。
昨年Intezerは、Bitterが北京のキルギスタン大使館になりすまし、様々な中国の原子力企業や学者を標的にしたフィッシング攻撃を行っていたことを報告しました。
代替データ・ストリームの悪用
トルコでの攻撃は、RARアーカイブを添付した外国投資プロジェクトの誘い文句を含む電子メールから始まった。
このアーカイブには、おとりPDFファイル(~tmp.pdf)、PDFを装ったショートカットファイル(PUBLIC INVESTMENTS PROJECTS 2025.pdf.lnk)、そして “Participation “と “Zone.Identifier “という名前のRARファイルに埋め込まれた代替データストリーム(ADS)が含まれています。
受信者がLNKファイルを開くと、ADSに隠されたPowerShellコードが実行され、正規のおとりPDFを開いて注意をそらす。同時に、17分ごとに悪意のあるcurlコマンドを実行する「DsSvcCleanup」という名前のスケジュールタスクを作成します。
このコマンドはステージングドメイン(jacknwoods[.]com)に到達し、追加のペイロードをダウンロードしたり、ネットワーク偵察を行ったり、データを盗んだりするコマンドなどの応答を待ちます。
Proofpoint社によると、同社が調査した攻撃では、WmRAT(anvrsa.msi)を取得するコマンドが12時間以内に送信されたとのことです。
.jpg)
ソースはこちら:プルーフポイント
WmRAT および MiyaRAT マルウェア
BitterはまずWmRATをターゲットに展開しましたが、コマンド&コントロールサーバーとの通信を確立できなかったため、MiyaRAT(gfxview.msi)をダウンロードしました。
どちらのマルウェアもC++リモートアクセス型トロイの木馬(RAT)で、Bitterにデータ流出、リモートコントロール、スクリーンショットのキャプチャ、コマンド実行(CMDまたはPowerShell)、システム監視機能を提供します。
MiyaRAT はより新しく、一般的により洗練されており、より高度なデータおよび通信の暗号化、インタラクティブなリバースシェル、ディレクトリおよびファイルの制御の強化を特徴としています。
Bitterによるより選択的な配備は、脅威行為者がアナリストへの露出を最小限に抑え、高価値のターゲットにこれを予約していることを示している可能性があります。
この攻撃に関連する侵害の指標(IoC)はProofpointのレポートの下部に記載されており、脅威の検出に役立つYARAルールはこちらで入手できます。
The post 恨み節」のサイバースパイ、新マルウェア「MiyaRAT」で防衛機関を標的に first appeared on PRSOL:CC.