{"id":7590,"date":"2025-01-13T00:42:03","date_gmt":"2025-01-12T23:42:03","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7590"},"modified":"2025-01-13T00:42:03","modified_gmt":"2025-01-12T23:42:03","slug":"bitter-apt-koristi-wmrat-i-miyarat","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/01\/13\/bitter-apt-koristi-wmrat-i-miyarat\/","title":{"rendered":"Bitter APT koristi WmRAT i MiyaRAT"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Kompanija <em>Proofpoint<\/em> je <a href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats\" target=\"_blank\" rel=\"noopener\">ozna\u010dila <em>WmRAT<\/em> i <em>MiyaRAT<\/em><\/a> \u2013 dvije porodice <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> kao zna\u010dajne prijetnje globalnoj bezbjednosti. Ove napredne alatke prvenstveno koristi u \u0161pijunske svrhe <a href=\"https:\/\/sajberinfo.com\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">napredna trajna prijetnja<\/a> (eng. <em>advanced persistent threat \u2013 APT<\/em>) za sajber \u0161pijuna\u017eu iz Ju\u017ene Azije poznata kao <em>Bitter<\/em> ili <em>TA397<\/em>.<\/span><\/p>\n<div id=\"attachment_7591\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7591\" class=\"wp-image-7591 size-full\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/Bitter-APT.jpg\" alt=\"WmRAT MiyaRAT\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/Bitter-APT.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/Bitter-APT-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/Bitter-APT-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/Bitter-APT-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/Bitter-APT-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/Bitter-APT-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/Bitter-APT-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7591\" class=\"wp-caption-text\"><em>Bitter APT koristi WmRAT i MiyaRAT; Source: Bing Image Creator<\/em><\/p><\/div>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/13\/bitter-apt-koristi-wmrat-i-miyarat\/#DISTRIBUCIJA_I_INFEKCIJA_KORISNIKA\" >DISTRIBUCIJA I INFEKCIJA KORISNIKA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/13\/bitter-apt-koristi-wmrat-i-miyarat\/#WmRAT\" >WmRAT<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/13\/bitter-apt-koristi-wmrat-i-miyarat\/#Karakteristike\" >Karakteristike<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/13\/bitter-apt-koristi-wmrat-i-miyarat\/#MiyaRAT\" >MiyaRAT<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/13\/bitter-apt-koristi-wmrat-i-miyarat\/#Karakteristike-2\" >Karakteristike<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/13\/bitter-apt-koristi-wmrat-i-miyarat\/#Komandni_i_kontrolni_C2_serveri\" >Komandni i kontrolni (C2) serveri<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/13\/bitter-apt-koristi-wmrat-i-miyarat\/#BITTER_APT\" >BITTER APT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/13\/bitter-apt-koristi-wmrat-i-miyarat\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/13\/bitter-apt-koristi-wmrat-i-miyarat\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"DISTRIBUCIJA_I_INFEKCIJA_KORISNIKA\"><\/span><strong>DISTRIBUCIJA I INFEKCIJA KORISNIKA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Lanac infekcije obi\u010dno po\u010dinje <a href=\"https:\/\/sajberinfo.com\/2022\/02\/23\/spear-phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>spear-phishing<\/em><\/a> elektronskom po\u0161tom, kao \u0161to je primije\u0107eno u napadu na tursku odbrambenu organizaciju u novembru 2024. godine. Elektronska po\u0161ta sadr\u017ei <em>RAR<\/em> arhivu u kojoj se nalaze razli\u010diti objekti, uklju\u010duju\u0107i <em>LNK<\/em> datoteku, <em>PDF<\/em> datoteku i dva <em>NTFS<\/em> alternativna toka podataka (eng. <em>alternate data streams \u2013 ADS<\/em>), pod nazivom \u201c<em>Participation<\/em>\u201d i \u201c<em>Zone.Identifier<\/em>\u201d.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ranije primije\u0107ena upotreba <em>Microsoft Compiled Help \u2013 CHM<\/em> datoteka unutar <em>RAR<\/em> arhiva za kreiranje zakazanih zadataka na ciljnim ure\u0111ajima bila je uobi\u010dajena taktika koju je <em>Bitter APT<\/em> koristio tokom prve polovine 2024. godine. Me\u0111utim, u ovom slu\u010daju, oni su koristili <em>NTFS<\/em> alternativne tokokove podataka (<em>ADS<\/em>) u kombinaciji sa <em>PDF<\/em> i <em>LNK<\/em> datotekama da bi stekli postojanost, utiru\u0107i put za dalje primjenu zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prilikom otvaranja <em>RAR<\/em> datoteke, \u017ertva bi vidjela samo <em>LNK<\/em> datoteku, jer su alternativni tokovi podataka (<em>ADS<\/em>) skriveni od korisnika kada koristi ugra\u0111eni uslu\u017eni program za raspakivanje <em>RAR<\/em> arhiva u <em>Windows<\/em> operativnom sistemu ili <em>WinRAR<\/em> aplikaciju. <em>PDF<\/em> datoteka ima omogu\u0107en atribut <em>Hidden<\/em>, <em>System<\/em> &amp; <em>Files ready for archiving<\/em> (<em>HSA<\/em>), \u0161to navodi korisnika da vjeruje da se <em>PDF<\/em> datoteka otvara zbog ekstenzije \u201c<em>pdf.lnk<\/em>\u201d.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon klika korisnika na <em>LNK<\/em> datoteku, ciljni sistem izvr\u0161ava <em>PowerShell<\/em> komandu, preuzimaju\u0107i i izvr\u0161avaju\u0107i dodatni zlonamjerni softver sa <em>Bitter APT<\/em> domena za postavljanje. Ova faza lanca infekcije je klju\u010dna, jer omogu\u0107ava <a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> da uspostave upori\u0161te unutar mre\u017ee ciljane organizacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver koji <em>Bitter APT<\/em> primjenjuje u ovom slu\u010daju je <em>WmRAT<\/em>, <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanac<\/a> za daljinski pristup (eng. <em>remote access trojans \u2013 RAT<\/em>) poznat po svojoj svestranosti i prikrivenim mogu\u0107nostima. Me\u0111utim, nedavno istra\u017eivanje je otkrilo jo\u0161 jedan dodatak njihovom arsenalu \u2013 <em>MiyaRAT <\/em>zlonamjerni softver. Ovaj alat zlonamjernog aktera sli\u010dan je <em>WmRAT <\/em>zlonamjernom softveru, ali nudi pobolj\u0161anu funkcionalnost, \u0161to ga \u010dini jo\u0161 mo\u0107nijim oru\u017ejem u naporima sajber \u0161pijuna\u017ee <em>Bitter APT <\/em>grupe zlonamjernih aktera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kada se jednom primjene, ovi sojevi zlonamjernog softvera omogu\u0107avaju zlonamjernim akterima da steknu potpunu kontrolu nad kompromitovanim sistemom, omogu\u0107avaju\u0107i im da eksfiltriraju osjetljive podatke, nadgledaju mre\u017eni saobra\u0107aj i odr\u017eavaju postojanost unutar mre\u017ee ciljane organizacije.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"WmRAT\"><\/span><strong><em>WmRAT<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>WmRAT<\/em> je trojanac za daljinski pristup napisan u programskom jeziku <em>C++,<\/em> a <a href=\"https:\/\/ti.qianxin.com\/blog\/articles\/the-shadow-lives-analysis-of-recent-attack-activities-of-the-bitter-group-en\/\" target=\"_blank\" rel=\"noopener\">identifikovao ga je <em>QiAnXin Threat Intelligence Center<\/em><\/a><em>.<\/em> Zlonamjerni softver koristi mre\u017ene priklju\u010dke (eng. <em>sockets<\/em>) za komunikaciju i mo\u017ee se pohvaliti standardnom <em>RAT<\/em> funkcijom, uklju\u010duju\u0107i mogu\u0107nost prikupljanja informacija o ure\u0111aju, otpremanja\/preuzimanja datoteka, pravljenja snimaka ekrana, dobijanja podataka o geolokaciji ciljnih ure\u0111aja, evidenciji direktorijuma i datoteka i izvr\u0161avanja proizvoljnih komandi preko <em>cmd<\/em> ili <em>PowerShell <\/em>komandnog okru\u017eenja. Zlonamjerni softver tako\u0111e generi\u0161e brojne ne\u017eeljene niti kao potencijalnu taktiku da obmane <a href=\"https:\/\/sajberinfo.com\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosne istra\u017eiva\u010de<\/a> ili one koji istra\u017euju uzorke.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Karakteristike\"><\/span><strong>Karakteristike<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Funkcionalnost <em>WmRAT<\/em> zlonamjernog softvera prevazilazi standardne <em>RAT<\/em> mogu\u0107nosti. U nastavku \u0107e biti rije\u010di o njegovim razli\u010ditim karakteristikama i kako one doprinose njegovoj efikasnosti kao zlonamjernog alata:<\/span><\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\"><strong>Komandna struktura:<\/strong> Komandna struktura koju koristi <em>WmRAT<\/em> je dizajnirana za jednostavnost, \u0161to olak\u0161ava operaterima da izdaju komande bez potrebe za opse\u017enim tehni\u010dkim znanjem. Komande se \u0161alju u formatu obi\u010dnog teksta preko uspostavljene veze izme\u0111u servera za komandu i kontrolu (<em>C&amp;C<\/em>) servera i zara\u017eenog ure\u0111aja;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Eksfiltracija podataka:<\/strong> Pored prikupljanja osnovnih informacija o ure\u0111aju, <em>WmRAT<\/em> mo\u017ee eksfiltrirati osjetljive podatke sa ciljnih ure\u0111aja. Ovo uklju\u010duje akreditive uskladi\u0161tene u sistemu, elektronsku po\u0161tu, dokumente i druge datoteke od interesa;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Postojanost:<\/strong> Da bi odr\u017eao pristup kompromitovanim sistemima, <em>WmRAT<\/em> koristi tehnike postojanosti. To uklju\u010duje kreiranje zakazanih zadataka koji pokre\u0107u RAT pri pokretanju sistema kako bi se osiguralo njegovo kontinuirano izvr\u0161avanje;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Tehnike protiv analize:<\/strong> Kao \u0161to je ranije pomenuto, <em>WmRAT<\/em> generi\u0161e veliki broj ne\u017eeljenih niti kao tehnike protiv analize. Ove niti su dizajnirane da tro\u0161e sistemske resurse i potencijalno dovode u zabludu sigurnosne istra\u017eiva\u010de ili osobe koje istra\u017euju uzorke.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-size: 14pt;\">Ova inovativna strategija omogu\u0107ava zlonamjernim akterima da zaobi\u0111u konvencionalne mjere bezbjednosti i izvr\u0161e zlonamjerne aktivnosti bez otkrivanja.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"MiyaRAT\"><\/span><strong><em>MiyaRAT<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>MiyaRAT<\/em>, jo\u0161 jedan mo\u0107an trojanac za daljinski pristup (<em>RAT<\/em>) koji je tako\u0111e <a href=\"https:\/\/ti.qianxin.com\/blog\/articles\/bitter-group-launches-new-trojan-miyarat-domestic-users-become-primary-targets-en\/\" target=\"_blank\" rel=\"noopener\">identifikovao <em>QiAnXin Threat Intelligence Center<\/em><\/a><em>, <\/em>tako\u0111e je napisan u <em>C++<\/em> programskom jeziku i koristi mre\u017ene priklju\u010dke za komunikaciju. Iako djeli sli\u010dnosti sa <em>WmRAT<\/em> zlonamjernim softverom u pogledu njegove funkcionalnosti, <em>MiyaRAT<\/em> ima posebne karakteristike koje ga izdvajaju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Karakteristike-2\"><\/span><strong>Karakteristike<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Kao \u0161to je pomenuto, <em>MiyaRAT<\/em> djeli sli\u010dnosti sa <em>WmRAT <\/em>zlonamjernom softveru u pogledu komandne strukture i funkcionalnosti. Me\u0111utim, postoje neke klju\u010dne razlike izme\u0111u ova dva trojanaca za daljinski pristup (<em>RAT<\/em>) koje zahtevaju dalje isticanje:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\"><strong>Starost:<\/strong> Smatra se da je <em>MiyaRAT<\/em> noviji zlonamjerni softver od <em>WmRAT <\/em>zlonamjernog softvera. Ovo dolazi iz procjene sigurnosnih istra\u017eiva\u010da da je <em>MiyaRAT<\/em> mo\u017eda razvijen u novije vreme i da je rezervisan za mete velike vrijednosti;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Primjena:<\/strong> \u010cini se da se <em>MiyaRAT<\/em> zlonamjerni softver koristi selektivnije, ciljaju\u0107i samo na odre\u0111ene organizacije, dok <em>WmRAT<\/em> zlonamjerni softver mo\u017ee imati \u0161iri opseg ciljeva. Ovo sugeri\u0161e zaklju\u010dak sigurnosnih istra\u017eiva\u010da koji vjeruju da je upotreba <em>MiyaRAT <\/em>zlonamjernog softvera rezervisana za mete velike vrijednosti zbog \u010dinjenice da je selektivno raspore\u0111en u samo nekoliko kampanja. Aktivnosti grupe uskla\u0111ene su sa radnim vremenom <em>UTC+5:30<\/em>, \u0161to sugeri\u0161e ru\u010dnu primjenu zlonamjernog softvera od strane operatera;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Isporuka tereta:<\/strong> Za razliku od <em>WmRAT <\/em>zlonamjernog softvera, koji se \u010desto isporu\u010duje putem priloga elektronske po\u0161te ili kompleta za eksploataciju, <em>MiyaRAT<\/em> je posmatran kao teret koji isporu\u010duje <em>Bitter APT<\/em> ubaciva\u010d (eng. <em>dropper<\/em>). Ovaj ubaciva\u010d kreira zakazane zadatke na ciljnim ure\u0111ajima kako bi izvr\u0161io zlonamjerni softver u odre\u0111eno vreme;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Dekodiranje C2 servera:<\/strong> Oba zlonamjerna softvera po\u010dinju tako \u0161to de\u0161ifruju svoje tvrdo k\u00f4dirane servere za komandu i kontrolu <em>(C2),<\/em> koji slu\u017ee kao primarni komunikacioni kanal izme\u0111u zlonamjernog softvera i operatera. Me\u0111utim, dok <em>WmRAT<\/em> koristi jednostavnu metodu de\u0161ifrovanja za dobijanje svog <em>C2<\/em> servera, <em>MiyaRAT<\/em> koristi zamr\u0161en proces koji uklju\u010duje oduzimanje znakova iz odre\u0111enog niza za potrebe dekodiranja.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-size: 14pt;\">Sve ovo \u010dini <em>MiyaRAT<\/em> zlonamjerni softver opasnijom prijetnjom od <em>WmRAT <\/em>zlonamjernog softvera zbog njegovih dodatnih mogu\u0107nosti. Ovo tako\u0111e ukazuje i na nivo pa\u017enje i preciznosti u izboru meta, kao i na razumijevanje potencijalnog uticaja djelovanja kod zlonamjernih aktera na globalnu bezbjednost.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Komandni_i_kontrolni_C2_serveri\"><\/span><strong>Komandni i kontrolni (<em>C2<\/em>) serveri<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Komandni i kontrolni (<em>C2<\/em>) serveri igraju klju\u010dnu ulogu u radu i <em>WmRAT<\/em> i <em>MiyaRAT <\/em>zlonamjernih softvera. Ovi serveri djeluju kao centralno \u010dvori\u0161te za izdavanje komandi inficiranim sistemima, omogu\u0107avaju\u0107i zlonamjernim akterima da izvr\u0161e razli\u010dite radnje kao \u0161to su eksfiltracija podataka, manipulacija datotekama, snimanje snimka ekrana i jo\u0161 mnogo toga. U slu\u010daju <em>WmRAT<\/em> i <em>MiyaRAT <\/em>zlonamjernih softvera, domen <em>C2<\/em> servera je tvrdo k\u00f4diran u svaku instancu zlonamjernog softvera. Za <em>WmRAT<\/em> zlonamjerni softver je primije\u0107eno da je domen \u201c<em>academymusica[.]com<\/em>\u201d kori\u0161ten kao scenski domen za distribuciju zlonamjernog softvera, dok je za <em>MiyaRAT<\/em> zlonamjerni softver de\u0161ifrovani domen <em>C2<\/em> servera \u201c<em>samsnewlooker[.]com<\/em>\u201d.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Proces de\u0161ifrovanja ovih domena uklju\u010duje razli\u010dite metode. <em>WmRAT<\/em> zlonamjerni softver koristi jednostavnu supstitucionu \u0161ifru za dekodiranje svog domena <em>C2<\/em> servera, dok <em>MiyaRAT<\/em> zlonamjerni softver koristi slo\u017eeniji pristup oduzimanjem odgovaraju\u0107eg znaka u nizu od svake k\u00f4dirane vrijednosti imena domena. Jednom de\u0161ifrovani i uspostavljeni, ovi serveri komuniciraju sa zlonamjernim softverom na odre\u0111enim portovima: <em>56189<\/em> za <em>MiyaRAT<\/em> zlonamjerni softver i port <em>47408<\/em> za <em>WmRAT <\/em>zlonamjerni softver. Komunikacija izme\u0111u <em>C2<\/em> servera i zara\u017eenog sistema je <a href=\"https:\/\/sajberinfo.com\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovana<\/a> kori\u0161\u0107enjem jednostavne <em>XOR<\/em> \u0161ifre kako bi se podaci koji se prenose za\u0161titili od otkrivanja bezbjednosnim mjerama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Komande koje izdaju <em>C2<\/em> serveri su predstavljene kao redne vrijednosti, koje se primaju preko 4-bajtne vrijednosti poslate preko mre\u017enog priklju\u010dka. Redoslijed bajtova ove vrijednosti se mijenja prije nego \u0161to se prosjedi rukovaocu komande za izvr\u0161enje. Neke zna\u010dajne podr\u017eane komande uklju\u010duju \u010ditanje i eksfiltriranje datoteka, kreiranje sa\u017eetaka ure\u0111aja, pokretanje obrnutih komandnih okru\u017eenja (eng. <em>reverse shells<\/em>) ili ponovno pokretanje, pravljenje snimaka ekrana i njihovo eksfiltriranje, prikupljanje informacija o geolokaciji, evidencija datoteke u direktorijumu zajedno sa vremenom njihovog kreiranja\/izmjene, dobijanje veli\u010dine diska za datoteke i direktorijume i izvr\u0161avanje nizova u <em>cmd<\/em> ili <em>powershell<\/em> okru\u017eenju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"BITTER_APT\"><\/span><strong><em>BITTER APT<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Bitter<\/em> <em>APT<\/em> (tako\u0111e poznat kao <em>TA397<\/em>, <em>APT-C-08<\/em>, <em>APT-Q-37<\/em>, <em>Hazy Tiger<\/em> i <em>Orange Yali<\/em>) je grupa za sajber \u0161pijuna\u017eu u ju\u017enoj Aziji koja je aktivna najmanje od 2013. godine. Ovaj sofisticirani zlonamjerni akter prvenstveno cilja na vladine i industrijske subjekte u <em>EMEA<\/em> regionu (Evropa, Bliski istok i Afrika) i <em>APAC<\/em> regionu ( Azijsko-pacifi\u010dki region), sa fokusom na kra\u0111u informacija i \u0161pijuna\u017eu. Njihove operacije karakteri\u0161u uporni poku\u0161aji da se infiltriraju u organizacije u razli\u010ditim sektorima kao \u0161to su energetika, telekomunikacije, odbrana, in\u017eenjering i sli\u010dno.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Taktike koje koristi <em>Bitter<\/em> <em>APT<\/em> su i sofisticirane i ciljane. Oni pedantno kreiraju elektronske poruke za <em>spear-phishing<\/em> prilago\u0111ene odre\u0111enim industrijama ili regionima, \u010dine\u0107i svoje napade veoma efikasnim u zaobila\u017eenju \u010dak i najsna\u017enijih bezbjednosnih mjera. Nivo detalja koji primjenjuju zlonamjerni akteri u ovim napadima ote\u017eava organizacijama da otkriju i blokiraju ove ciljane napade.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Na primjer, nedavna kampanja usmjerena na organizaciju turskog sektora odbrane maskirana u elektronsku po\u0161tu o projektima javne infrastrukture na Madagaskaru. Ove kampanje dovode do do instaliranja trojanaca za daljinski pristup (<em>RAT<\/em>) kao \u0161to su <em>WmRAT<\/em> i <em>MiyaRAT<\/em>, omogu\u0107avaju\u0107i zlonamjernim akterima neovla\u0161teni pristup osjetljivim informacijama i intelektualnoj svojini.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored toga, <em>Bitter<\/em> <em>APT<\/em> koristi napredne tehnike kao \u0161to je kori\u0161tenje <em>RAR<\/em> arhiva sa alternativnim tokovima podataka (<em>ADS<\/em>) za isporuku zlonamjernih korisnih podataka. Sakrivanjem svog zlonamjernog softvera u naizgled bezopasnim datotekama, oni mogu da izbjegnu otkrivanje od strane bezbjednosnih sistema. Uz to, grupa je pokazala sposobnost da zaobi\u0111e bezbjednosne tehnologije kori\u0161tenjem nejasnih formata datoteka i <a href=\"https:\/\/sajberinfo.com\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinkom<\/a> za\u0161ti\u0107enih ili na drugi na\u010din \u0161ifrovanih <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnih podataka<\/a>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uticaj <em>Bitter<\/em> <em>APT<\/em> aktivnosti je dalekose\u017ean i potencijalno razoran. Kra\u0111om osjetljivih informacija i intelektualne svojine, oni mogu da ugroze nacionalnu bezbjednost, poremete kriti\u010dnu infrastrukturu i potkopaju ekonomsku stabilnost. Njihovi ciljani napadi na vladine organizacije mogu dovesti do politi\u010dke nestabilnosti ili \u010dak promjene re\u017eima u nekim slu\u010dajevima. \u0160tavi\u0161e, grupa je povezana sa primjenom sojeva <em>Android<\/em> zlonamjernog softvera kao \u0161to su <em>PWNDROID2<\/em> i <em>Dracarys<\/em>, koji mogu da ugroze li\u010dne ure\u0111aje, \u0161to dovodi do <a href=\"https:\/\/sajberinfo.com\/2023\/11\/07\/identity-theft\/\" target=\"_blank\" rel=\"nofollow noopener\">kra\u0111e identiteta<\/a>, finansijske prevare i drugih oblika sajber kriminala.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Napredna trajna prijetnja poznata kao <em>Bitter<\/em> <em>APT<\/em>, identifikovana je kao zna\u010dajna ju\u017enoazijska prijetnja. Ovaj entitet fokusiran na \u0161pijuna\u017eu dosljedno cilja na vladine, energetske, telekomunikacijske, odbrambene i in\u017eenjerske organizacije \u0161irom regiona <em>EMEA<\/em> i <em>APAC<\/em> regiona.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Funkcionisanje <em>Bitter<\/em> <em>APT<\/em> grupe zlonamjernih aktera uklju\u010duje kori\u0161tenje zakazanih zadataka za komunikaciju sa scenskim domenima za postavljanje zlonamjernih <em>backdoor<\/em> alata u ciljne sisteme, sa ciljem pristupa privilegovanim informacijama i intelektualnoj svojini. Ova grupa je primije\u0107ena kako isporu\u010duje dvije porodice zlonamjernog softvera: <em>WmRAT<\/em> i <em>MiyaRAT<\/em> u posljednjim fazama njihovog lanca napada. Oba ova soja zlonamjernog softvera su dizajnirana za prikupljanje obavje\u0161tajnih podataka i eksfiltraciju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">S obzirom na upornost ove grupe i potencijalni uticaj njihovih aktivnosti na globalnu bezbjednost, klju\u010dno je da branioci budu opremljeni znanjem i alatima neophodnim da identifikuju i suprotstave se upadima <em>Bitter<\/em> <em>APT<\/em> grupe zlonamjernih aktera. Razumijevanje ove prijetnje je od su\u0161tinskog zna\u010daja za razvoj efikasnih odbrambenih strategija protiv napora sajber \u0161pijuna\u017ee koji ciljaju kriti\u010dnu infrastrukturu, vlade i druge mete velike vrijednosti. Zbog toga je neophodno u cilju efikasne za\u0161tite da organizacije daju prioritet naporima u oblasti <a href=\"https:\/\/sajberinfo.com\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>, posebno u sektorima kriti\u010dne infrastrukture kao \u0161to je odbrana.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U savremenom digitalnom okru\u017eenju, za\u0161tita sistema od sofisticiranih prijetnji kao \u0161to su <em>WmRAT<\/em> i <em>MiyaRAT<\/em> je od najve\u0107e va\u017enosti. Ovi trojanci za daljinski pristup (<em>RAT<\/em>) su dizajnirani da zaobi\u0111u bezbjednosne alate i dobiju neovla\u0161teni pristup sistemu, kompromituju\u0107i osjetljive podatke i kontrolu nad pogo\u0111enim ure\u0111ajem. Evo prakti\u010dnog vodi\u010da o tome kako je mogu\u0107e za\u0161titi sistem od ovakvih prijetnji:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Prva linija odbrane je svijest korisnika. Potrebno je primjenjivati oprez prilikom otvaranja priloga elektronske po\u0161te ili klikova na veze iz nepoznatih izvora, posebno ako izgledaju sumnjivo. Zlonamjerni akteri \u010desto koriste taktike dru\u0161tvenog in\u017eenjeringa da prevare korisnike da preuzmu zlonamjerni softver;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je odr\u017eavati operativni sistem i sve instalirane aplikacije a\u017eurnim. A\u017euriranja \u010desto uklju\u010duju ispravke za poznate ranjivosti koje bi zlonamjerni akteri mogli da iskoriste. Odr\u017eavanjem a\u017euriranja softvera smanjuje se rizik od infekcije sa <em>WmRAT<\/em> i <em>MiyaRAT <\/em>zlonamjernim softverima;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Preporuka je kori\u0161tenje pouzdanog antivirusnog rije\u0161enja za za\u0161titu sistema od zlonamjernog softvera kao \u0161to su <em>WmRAT<\/em> i <em>MiyaRAT <\/em>zlonamjerni softveri. Uvjeriti se da je <a href=\"https:\/\/sajberinfo.com\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni softver<\/a> pode\u0161en da automatski a\u017eurira svoje definicije virusa redovno, jer \u0107e mu to pomo\u0107i da otkrije i ukloni najnovije prijetnje. Tako\u0111e, redovno skenirati sistem u potrazi za zlonamjernim softverom. Ovo mo\u017ee pomo\u0107i u otkrivanju i uklanjanju svih postoje\u0107ih infekcija pre nego \u0161to izazovu zna\u010dajnu \u0161tetu;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">U korporativnom okru\u017eenju primijeniti jake bezbjednosne politike koje zabranjuju preuzimanje neovla\u0161tenog softvera ili posje\u0107ivanje sumnjivih internet lokacija. Redovno obu\u010davati zaposlene o najboljim praksama u sajber bezbjednosti kako bi se umanjile ljudske gre\u0161ke u organizaciji;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti slo\u017eene lozinke za sve naloge i omogu\u0107iti autentifikaciju u dva koraka (eng. <em>two-factor authentication \u2013 2FA<\/em>) kad god je to mogu\u0107e. To zlonamjernim akterima ote\u017eava pristup \u010dak i ako uspiju da ukradu akreditive;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno nadgledati sistem zbog neobi\u010dnih aktivnosti, kao \u0161to su neo\u010dekivani procesi koji se pokre\u0107u u pozadini ili datoteke koje se otpremaju\/preuzimaju bez odobrenja znanja. Ako se primijeti ne\u0161to sumnjivo, odmah istra\u017eiti i preduzimati odgovaraju\u0107e mjere;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno praviti <a href=\"https:\/\/sajberinfo.com\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervnu kopiju<\/a> va\u017enih podataka na spoljnom ure\u0111aju za skladi\u0161tenje ili usluzi u oblaku. U slu\u010daju infekcije trojancem za daljinski pristup (<em>RAT<\/em>), nedavna rezervna kopija mo\u017ee pomo\u0107i da se smanji uticaj na sistem i omogu\u0107i brz oporavak;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti segmentaciju mre\u017ee da bi se ograni\u010dilo \u0161irenje prijetnji poput <em>WmRAT<\/em> ili <em>MiyaRAT <\/em>zlonamjernih softvera unutar mre\u017ee. Ovo uklju\u010duje podjelu mre\u017ee na manje segmente, od kojih svaki ima sopstveni za\u0161titni zid i kontrole pristupa;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kad god je to mogu\u0107e, preuzimati softver samo iz pouzdanih izvora. Zlonamjerni akteri \u010desto distribuiraju zlonamjerni softver putem piratskog softvera ili la\u017enih a\u017euriranja. Dr\u017eati se zvani\u010dnih internet lokacija ili renomiranih prodavnica softvera kad god je potrebno instalirati nove aplikacije.<\/span><\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Kompanija Proofpoint je ozna\u010dila WmRAT i MiyaRAT \u2013 dvije porodice zlonamjernog softvera kao zna\u010dajne prijetnje globalnoj bezbjednosti. Ove napredne alatke prvenstveno koristi u \u0161pijunske svrhe napredna trajna prijetnja (eng. advanced persistent threat \u2013 APT)&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7591,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2583,2586,2588,2590,2585,2584,2581,2589,282,2587,2582,2580],"class_list":["post-7590","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-bitter-apt","tag-decoy-file","tag-high-value-targets","tag-intellectual-property-theft","tag-lnk-file-attack","tag-malicious-payload","tag-miyarat","tag-privileged-information-access","tag-remote-access-trojan","tag-staging-domains","tag-ta397-malware","tag-wmrat"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7590","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7590"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7590\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7591"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7590"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7590"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7590"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}