Bitter APT koristi WmRAT i MiyaRAT
Kompanija Proofpoint je označila WmRAT i MiyaRAT – dvije porodice zlonamjernog softvera kao značajne prijetnje globalnoj bezbjednosti. Ove napredne alatke prvenstveno koristi u špijunske svrhe napredna trajna prijetnja (eng. advanced persistent threat – APT) za sajber špijunažu iz Južne Azije poznata kao Bitter ili TA397.

Bitter APT koristi WmRAT i MiyaRAT; Source: Bing Image Creator
DISTRIBUCIJA I INFEKCIJA KORISNIKA
Lanac infekcije obično počinje spear-phishing elektronskom poštom, kao što je primijećeno u napadu na tursku odbrambenu organizaciju u novembru 2024. godine. Elektronska pošta sadrži RAR arhivu u kojoj se nalaze različiti objekti, uključujući LNK datoteku, PDF datoteku i dva NTFS alternativna toka podataka (eng. alternate data streams – ADS), pod nazivom “Participation” i “Zone.Identifier”.
Ranije primijećena upotreba Microsoft Compiled Help – CHM datoteka unutar RAR arhiva za kreiranje zakazanih zadataka na ciljnim uređajima bila je uobičajena taktika koju je Bitter APT koristio tokom prve polovine 2024. godine. Međutim, u ovom slučaju, oni su koristili NTFS alternativne tokokove podataka (ADS) u kombinaciji sa PDF i LNK datotekama da bi stekli postojanost, utirući put za dalje primjenu zlonamjernog softvera.
Prilikom otvaranja RAR datoteke, žrtva bi vidjela samo LNK datoteku, jer su alternativni tokovi podataka (ADS) skriveni od korisnika kada koristi ugrađeni uslužni program za raspakivanje RAR arhiva u Windows operativnom sistemu ili WinRAR aplikaciju. PDF datoteka ima omogućen atribut Hidden, System & Files ready for archiving (HSA), što navodi korisnika da vjeruje da se PDF datoteka otvara zbog ekstenzije “pdf.lnk”.
Nakon klika korisnika na LNK datoteku, ciljni sistem izvršava PowerShell komandu, preuzimajući i izvršavajući dodatni zlonamjerni softver sa Bitter APT domena za postavljanje. Ova faza lanca infekcije je ključna, jer omogućava zlonamjernim akterima da uspostave uporište unutar mreže ciljane organizacije.
Zlonamjerni softver koji Bitter APT primjenjuje u ovom slučaju je WmRAT, trojanac za daljinski pristup (eng. remote access trojans – RAT) poznat po svojoj svestranosti i prikrivenim mogućnostima. Međutim, nedavno istraživanje je otkrilo još jedan dodatak njihovom arsenalu – MiyaRAT zlonamjerni softver. Ovaj alat zlonamjernog aktera sličan je WmRAT zlonamjernom softveru, ali nudi poboljšanu funkcionalnost, što ga čini još moćnijim oružjem u naporima sajber špijunaže Bitter APT grupe zlonamjernih aktera.
Kada se jednom primjene, ovi sojevi zlonamjernog softvera omogućavaju zlonamjernim akterima da steknu potpunu kontrolu nad kompromitovanim sistemom, omogućavajući im da eksfiltriraju osjetljive podatke, nadgledaju mrežni saobraćaj i održavaju postojanost unutar mreže ciljane organizacije.
WmRAT
WmRAT je trojanac za daljinski pristup napisan u programskom jeziku C++, a identifikovao ga je QiAnXin Threat Intelligence Center. Zlonamjerni softver koristi mrežne priključke (eng. sockets) za komunikaciju i može se pohvaliti standardnom RAT funkcijom, uključujući mogućnost prikupljanja informacija o uređaju, otpremanja/preuzimanja datoteka, pravljenja snimaka ekrana, dobijanja podataka o geolokaciji ciljnih uređaja, evidenciji direktorijuma i datoteka i izvršavanja proizvoljnih komandi preko cmd ili PowerShell komandnog okruženja. Zlonamjerni softver takođe generiše brojne neželjene niti kao potencijalnu taktiku da obmane sigurnosne istraživače ili one koji istražuju uzorke.
Karakteristike
Funkcionalnost WmRAT zlonamjernog softvera prevazilazi standardne RAT mogućnosti. U nastavku će biti riječi o njegovim različitim karakteristikama i kako one doprinose njegovoj efikasnosti kao zlonamjernog alata:
- Komandna struktura: Komandna struktura koju koristi WmRAT je dizajnirana za jednostavnost, što olakšava operaterima da izdaju komande bez potrebe za opsežnim tehničkim znanjem. Komande se šalju u formatu običnog teksta preko uspostavljene veze između servera za komandu i kontrolu (C&C) servera i zaraženog uređaja;
- Eksfiltracija podataka: Pored prikupljanja osnovnih informacija o uređaju, WmRAT može eksfiltrirati osjetljive podatke sa ciljnih uređaja. Ovo uključuje akreditive uskladištene u sistemu, elektronsku poštu, dokumente i druge datoteke od interesa;
- Postojanost: Da bi održao pristup kompromitovanim sistemima, WmRAT koristi tehnike postojanosti. To uključuje kreiranje zakazanih zadataka koji pokreću RAT pri pokretanju sistema kako bi se osiguralo njegovo kontinuirano izvršavanje;
- Tehnike protiv analize: Kao što je ranije pomenuto, WmRAT generiše veliki broj neželjenih niti kao tehnike protiv analize. Ove niti su dizajnirane da troše sistemske resurse i potencijalno dovode u zabludu sigurnosne istraživače ili osobe koje istražuju uzorke.
Ova inovativna strategija omogućava zlonamjernim akterima da zaobiđu konvencionalne mjere bezbjednosti i izvrše zlonamjerne aktivnosti bez otkrivanja.
MiyaRAT
MiyaRAT, još jedan moćan trojanac za daljinski pristup (RAT) koji je takođe identifikovao QiAnXin Threat Intelligence Center, takođe je napisan u C++ programskom jeziku i koristi mrežne priključke za komunikaciju. Iako djeli sličnosti sa WmRAT zlonamjernim softverom u pogledu njegove funkcionalnosti, MiyaRAT ima posebne karakteristike koje ga izdvajaju.
Karakteristike
Kao što je pomenuto, MiyaRAT djeli sličnosti sa WmRAT zlonamjernom softveru u pogledu komandne strukture i funkcionalnosti. Međutim, postoje neke ključne razlike između ova dva trojanaca za daljinski pristup (RAT) koje zahtevaju dalje isticanje:
- Starost: Smatra se da je MiyaRAT noviji zlonamjerni softver od WmRAT zlonamjernog softvera. Ovo dolazi iz procjene sigurnosnih istraživača da je MiyaRAT možda razvijen u novije vreme i da je rezervisan za mete velike vrijednosti;
- Primjena: Čini se da se MiyaRAT zlonamjerni softver koristi selektivnije, ciljajući samo na određene organizacije, dok WmRAT zlonamjerni softver može imati širi opseg ciljeva. Ovo sugeriše zaključak sigurnosnih istraživača koji vjeruju da je upotreba MiyaRAT zlonamjernog softvera rezervisana za mete velike vrijednosti zbog činjenice da je selektivno raspoređen u samo nekoliko kampanja. Aktivnosti grupe usklađene su sa radnim vremenom UTC+5:30, što sugeriše ručnu primjenu zlonamjernog softvera od strane operatera;
- Isporuka tereta: Za razliku od WmRAT zlonamjernog softvera, koji se često isporučuje putem priloga elektronske pošte ili kompleta za eksploataciju, MiyaRAT je posmatran kao teret koji isporučuje Bitter APT ubacivač (eng. dropper). Ovaj ubacivač kreira zakazane zadatke na ciljnim uređajima kako bi izvršio zlonamjerni softver u određeno vreme;
- Dekodiranje C2 servera: Oba zlonamjerna softvera počinju tako što dešifruju svoje tvrdo kôdirane servere za komandu i kontrolu (C2), koji služe kao primarni komunikacioni kanal između zlonamjernog softvera i operatera. Međutim, dok WmRAT koristi jednostavnu metodu dešifrovanja za dobijanje svog C2 servera, MiyaRAT koristi zamršen proces koji uključuje oduzimanje znakova iz određenog niza za potrebe dekodiranja.
Sve ovo čini MiyaRAT zlonamjerni softver opasnijom prijetnjom od WmRAT zlonamjernog softvera zbog njegovih dodatnih mogućnosti. Ovo takođe ukazuje i na nivo pažnje i preciznosti u izboru meta, kao i na razumijevanje potencijalnog uticaja djelovanja kod zlonamjernih aktera na globalnu bezbjednost.
Komandni i kontrolni (C2) serveri
Komandni i kontrolni (C2) serveri igraju ključnu ulogu u radu i WmRAT i MiyaRAT zlonamjernih softvera. Ovi serveri djeluju kao centralno čvorište za izdavanje komandi inficiranim sistemima, omogućavajući zlonamjernim akterima da izvrše različite radnje kao što su eksfiltracija podataka, manipulacija datotekama, snimanje snimka ekrana i još mnogo toga. U slučaju WmRAT i MiyaRAT zlonamjernih softvera, domen C2 servera je tvrdo kôdiran u svaku instancu zlonamjernog softvera. Za WmRAT zlonamjerni softver je primijećeno da je domen “academymusica[.]com” korišten kao scenski domen za distribuciju zlonamjernog softvera, dok je za MiyaRAT zlonamjerni softver dešifrovani domen C2 servera “samsnewlooker[.]com”.
Proces dešifrovanja ovih domena uključuje različite metode. WmRAT zlonamjerni softver koristi jednostavnu supstitucionu šifru za dekodiranje svog domena C2 servera, dok MiyaRAT zlonamjerni softver koristi složeniji pristup oduzimanjem odgovarajućeg znaka u nizu od svake kôdirane vrijednosti imena domena. Jednom dešifrovani i uspostavljeni, ovi serveri komuniciraju sa zlonamjernim softverom na određenim portovima: 56189 za MiyaRAT zlonamjerni softver i port 47408 za WmRAT zlonamjerni softver. Komunikacija između C2 servera i zaraženog sistema je šifrovana korišćenjem jednostavne XOR šifre kako bi se podaci koji se prenose zaštitili od otkrivanja bezbjednosnim mjerama.
Komande koje izdaju C2 serveri su predstavljene kao redne vrijednosti, koje se primaju preko 4-bajtne vrijednosti poslate preko mrežnog priključka. Redoslijed bajtova ove vrijednosti se mijenja prije nego što se prosjedi rukovaocu komande za izvršenje. Neke značajne podržane komande uključuju čitanje i eksfiltriranje datoteka, kreiranje sažetaka uređaja, pokretanje obrnutih komandnih okruženja (eng. reverse shells) ili ponovno pokretanje, pravljenje snimaka ekrana i njihovo eksfiltriranje, prikupljanje informacija o geolokaciji, evidencija datoteke u direktorijumu zajedno sa vremenom njihovog kreiranja/izmjene, dobijanje veličine diska za datoteke i direktorijume i izvršavanje nizova u cmd ili powershell okruženju.
BITTER APT
Bitter APT (takođe poznat kao TA397, APT-C-08, APT-Q-37, Hazy Tiger i Orange Yali) je grupa za sajber špijunažu u južnoj Aziji koja je aktivna najmanje od 2013. godine. Ovaj sofisticirani zlonamjerni akter prvenstveno cilja na vladine i industrijske subjekte u EMEA regionu (Evropa, Bliski istok i Afrika) i APAC regionu ( Azijsko-pacifički region), sa fokusom na krađu informacija i špijunažu. Njihove operacije karakterišu uporni pokušaji da se infiltriraju u organizacije u različitim sektorima kao što su energetika, telekomunikacije, odbrana, inženjering i slično.
Taktike koje koristi Bitter APT su i sofisticirane i ciljane. Oni pedantno kreiraju elektronske poruke za spear-phishing prilagođene određenim industrijama ili regionima, čineći svoje napade veoma efikasnim u zaobilaženju čak i najsnažnijih bezbjednosnih mjera. Nivo detalja koji primjenjuju zlonamjerni akteri u ovim napadima otežava organizacijama da otkriju i blokiraju ove ciljane napade.
Na primjer, nedavna kampanja usmjerena na organizaciju turskog sektora odbrane maskirana u elektronsku poštu o projektima javne infrastrukture na Madagaskaru. Ove kampanje dovode do do instaliranja trojanaca za daljinski pristup (RAT) kao što su WmRAT i MiyaRAT, omogućavajući zlonamjernim akterima neovlašteni pristup osjetljivim informacijama i intelektualnoj svojini.
Pored toga, Bitter APT koristi napredne tehnike kao što je korištenje RAR arhiva sa alternativnim tokovima podataka (ADS) za isporuku zlonamjernih korisnih podataka. Sakrivanjem svog zlonamjernog softvera u naizgled bezopasnim datotekama, oni mogu da izbjegnu otkrivanje od strane bezbjednosnih sistema. Uz to, grupa je pokazala sposobnost da zaobiđe bezbjednosne tehnologije korištenjem nejasnih formata datoteka i lozinkom zaštićenih ili na drugi način šifrovanih korisnih podataka.
Uticaj Bitter APT aktivnosti je dalekosežan i potencijalno razoran. Krađom osjetljivih informacija i intelektualne svojine, oni mogu da ugroze nacionalnu bezbjednost, poremete kritičnu infrastrukturu i potkopaju ekonomsku stabilnost. Njihovi ciljani napadi na vladine organizacije mogu dovesti do političke nestabilnosti ili čak promjene režima u nekim slučajevima. Štaviše, grupa je povezana sa primjenom sojeva Android zlonamjernog softvera kao što su PWNDROID2 i Dracarys, koji mogu da ugroze lične uređaje, što dovodi do krađe identiteta, finansijske prevare i drugih oblika sajber kriminala.
ZAKLJUČAK
Napredna trajna prijetnja poznata kao Bitter APT, identifikovana je kao značajna južnoazijska prijetnja. Ovaj entitet fokusiran na špijunažu dosljedno cilja na vladine, energetske, telekomunikacijske, odbrambene i inženjerske organizacije širom regiona EMEA i APAC regiona.
Funkcionisanje Bitter APT grupe zlonamjernih aktera uključuje korištenje zakazanih zadataka za komunikaciju sa scenskim domenima za postavljanje zlonamjernih backdoor alata u ciljne sisteme, sa ciljem pristupa privilegovanim informacijama i intelektualnoj svojini. Ova grupa je primijećena kako isporučuje dvije porodice zlonamjernog softvera: WmRAT i MiyaRAT u posljednjim fazama njihovog lanca napada. Oba ova soja zlonamjernog softvera su dizajnirana za prikupljanje obavještajnih podataka i eksfiltraciju.
S obzirom na upornost ove grupe i potencijalni uticaj njihovih aktivnosti na globalnu bezbjednost, ključno je da branioci budu opremljeni znanjem i alatima neophodnim da identifikuju i suprotstave se upadima Bitter APT grupe zlonamjernih aktera. Razumijevanje ove prijetnje je od suštinskog značaja za razvoj efikasnih odbrambenih strategija protiv napora sajber špijunaže koji ciljaju kritičnu infrastrukturu, vlade i druge mete velike vrijednosti. Zbog toga je neophodno u cilju efikasne zaštite da organizacije daju prioritet naporima u oblasti sajber bezbjednosti, posebno u sektorima kritične infrastrukture kao što je odbrana.
ZAŠTITA
U savremenom digitalnom okruženju, zaštita sistema od sofisticiranih prijetnji kao što su WmRAT i MiyaRAT je od najveće važnosti. Ovi trojanci za daljinski pristup (RAT) su dizajnirani da zaobiđu bezbjednosne alate i dobiju neovlašteni pristup sistemu, kompromitujući osjetljive podatke i kontrolu nad pogođenim uređajem. Evo praktičnog vodiča o tome kako je moguće zaštiti sistem od ovakvih prijetnji:
- Prva linija odbrane je svijest korisnika. Potrebno je primjenjivati oprez prilikom otvaranja priloga elektronske pošte ili klikova na veze iz nepoznatih izvora, posebno ako izgledaju sumnjivo. Zlonamjerni akteri često koriste taktike društvenog inženjeringa da prevare korisnike da preuzmu zlonamjerni softver;
- Potrebno je održavati operativni sistem i sve instalirane aplikacije ažurnim. Ažuriranja često uključuju ispravke za poznate ranjivosti koje bi zlonamjerni akteri mogli da iskoriste. Održavanjem ažuriranja softvera smanjuje se rizik od infekcije sa WmRAT i MiyaRAT zlonamjernim softverima;
- Preporuka je korištenje pouzdanog antivirusnog riješenja za zaštitu sistema od zlonamjernog softvera kao što su WmRAT i MiyaRAT zlonamjerni softveri. Uvjeriti se da je antivirusni softver podešen da automatski ažurira svoje definicije virusa redovno, jer će mu to pomoći da otkrije i ukloni najnovije prijetnje. Takođe, redovno skenirati sistem u potrazi za zlonamjernim softverom. Ovo može pomoći u otkrivanju i uklanjanju svih postojećih infekcija pre nego što izazovu značajnu štetu;
- U korporativnom okruženju primijeniti jake bezbjednosne politike koje zabranjuju preuzimanje neovlaštenog softvera ili posjećivanje sumnjivih internet lokacija. Redovno obučavati zaposlene o najboljim praksama u sajber bezbjednosti kako bi se umanjile ljudske greške u organizaciji;
- Koristiti složene lozinke za sve naloge i omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće. To zlonamjernim akterima otežava pristup čak i ako uspiju da ukradu akreditive;
- Redovno nadgledati sistem zbog neobičnih aktivnosti, kao što su neočekivani procesi koji se pokreću u pozadini ili datoteke koje se otpremaju/preuzimaju bez odobrenja znanja. Ako se primijeti nešto sumnjivo, odmah istražiti i preduzimati odgovarajuće mjere;
- Redovno praviti rezervnu kopiju važnih podataka na spoljnom uređaju za skladištenje ili usluzi u oblaku. U slučaju infekcije trojancem za daljinski pristup (RAT), nedavna rezervna kopija može pomoći da se smanji uticaj na sistem i omogući brz oporavak;
- Primijeniti segmentaciju mreže da bi se ograničilo širenje prijetnji poput WmRAT ili MiyaRAT zlonamjernih softvera unutar mreže. Ovo uključuje podjelu mreže na manje segmente, od kojih svaki ima sopstveni zaštitni zid i kontrole pristupa;
- Kad god je to moguće, preuzimati softver samo iz pouzdanih izvora. Zlonamjerni akteri često distribuiraju zlonamjerni softver putem piratskog softvera ili lažnih ažuriranja. Držati se zvaničnih internet lokacija ili renomiranih prodavnica softvera kad god je potrebno instalirati nove aplikacije.