Ciberseguridad 360 | Hackers del espionaje "Bitter APT" atacan a organizaciones chinas de energía nuclear.

Un grupo de ciberespionaje rastreado como "Bitter APT" ha sido visto recientemente atacando la industria de la energ�a nuclear china mediante correos electr�nicos de phishing para infectar dispositivos con descargadores de malware.

Bitter es un presunto grupo de piratas inform�ticos del sur de Asia conocido por atacar organizaciones de alto nivel en los sectores de la energ�a, la ingenier�a y la administraci�n p�blica en la regi�n Asia-Pac�fico.

En mayo de 2022, se descubri� que Bitter APT utilizaba correos electr�nicos de phishing selectivo con documentos XLSX maliciosos adjuntos para cargar un troyano llamado "ZxxZ" en objetivos del sudeste asi�tico.

En agosto de 2022, Meta inform� de que Bitter APT estaba utilizando una nueva herramienta de software esp�a para Android llamada "Dracarys" contra usuarios de Nueva Zelanda, India, Pakist�n y Reino Unido.

Esta campa�a de hacking fue descubierta por los analistas de amenazas de Intezer, que la atribuyen a Bitter APT bas�ndose en las TTP (t�cticas, t�cnicas y procedimientos) observadas, que coinciden con las de campa�as anteriores del mismo actor de amenazas.

Dirigida al sector nuclear chino

En la nueva campa�a descubierta por Intezer, Bitter env�a correos electr�nicos haci�ndose pasar por la Embajada de Kirguist�n en Pek�n a varias empresas chinas de energ�a nuclear y a acad�micos relacionados con ese campo.

El correo electr�nico simula ser una invitaci�n a una conferencia sobre energ�a nuclear supuestamente organizada por la Embajada de Kirguist�n, el Organismo Internacional de Energ�a At�mica (OIEA) y el Instituto Chino de Estudios Internacionales (CIIS).

Phishing email body

El nombre que firma el correo electr�nico es aut�ntico, pertenece a un funcionario del Ministerio de Asuntos Exteriores de Kirguist�n, lo que demuestra la atenci�n de Bitter APT a los detalles que ayudan a a�adir legitimidad a sus comunicaciones.

Se insta a los destinatarios a descargar el archivo adjunto RAR del correo electr�nico, que supuestamente contiene una tarjeta de invitaci�n a la conferencia pero que, en realidad, contiene un archivo de ayuda HTML compilado (CHM) de Microsoft o un documento Excel malicioso.

Descarga de cargas �tiles

En la mayor�a de los casos, Bitter APT utiliza una carga �til CHM que ejecuta comandos para crear tareas programadas en el sistema comprometido y descargar la siguiente fase.

Cuando se esconde un documento Excel en los archivos adjuntos RAR descargados, la tarea programada se a�ade aprovechando una antigua vulnerabilidad del Editor de Ecuaciones que se activa al abrir el documento malicioso.

Scheduled task

Intezer comenta que es probable que el autor de la amenaza prefiera las cargas �tiles CHM porque no requieren que el objetivo utilice una versi�n vulnerable de Microsoft Office, pueden eludir el an�lisis est�tico gracias a su compresi�n LZX y requieren una interacci�n m�nima del usuario para funcionar.

La carga �til de segunda etapa es un archivo MSI o PowerShell si se utiliza una carga �til CHM o un archivo EXE en el caso de la carga �til de documento Excel.

Malicious PowerShell in the CHM file

Para eludir la detecci�n y la exposici�n, las cargas �tiles de la segunda etapa est�n vac�as.

Sin embargo, cuando las cargas �tiles de la primera fase env�an informaci�n sobre el dispositivo infectado al servidor de mando y control del agresor, �ste determina si se trata de un objetivo valioso y env�a el malware real al sistema infectado.

Empty MSI payloads

Los analistas de Intezer no pudieron recuperar ninguna carga �til real entregada en esta campa�a, pero plantearon la hip�tesis de que podr�an incluir keyloggers, RAT (herramientas de acceso remoto) e info-stealers (ladrones de informaci�n).

Bitter APT's complete infection chain

Archivos adjuntos peligrosos

Los archivos CHM fueron populares en su d�a para la documentaci�n de software y archivos de ayuda, pero ya no se utilizan habitualmente, y mucho menos en las comunicaciones por correo electr�nico.

Los destinatarios de correos electr�nicos deben extremar la vigilancia cuando encuentren archivos CHM en archivos adjuntos, ya que pueden albergar contenido malicioso.

Por �ltimo, los archivos en s� tambi�n deben tratarse con recelo, ya que pueden eludir los an�lisis antivirus y, por tanto, la probabilidad de que sean maliciosos es alta.

Fuente: bleepingcomputer