محققان عبدالله الشینباری، جوناس واگنر، نیک اتفیلد و کنستانتین کلینگر اعلام کردند: “مجموعه ابزارهای متنوع این گروه الگوهای کدنویسی ثابتی را در خانوادههای مختلف بدافزار نشان میدهد، بهویژه در جمعآوری اطلاعات سیستم و مبهمسازی رشتهها.”
Bitter که با نامهای APT-C-08، APT-Q-37، Hazy Tiger، Orange Yali، T-APT-17 و TA397 نیز شناخته میشود، سابقه تمرکز بر نهادهای آسیای جنوبی را دارد و نفوذهای محدودی نیز علیه چین، عربستان سعودی و آمریکای جنوبی انجام داده است.
در دسامبر 2024، شواهدی از هدف قرار دادن ترکیه توسط این گروه با استفاده از خانوادههای بدافزار WmRAT و MiyaRAT مشاهده شد که نشاندهنده گسترش تدریجی جغرافیایی فعالیتهای آنهاست.
Proofpoint اعلام کرد که Bitter معمولاً “زیرمجموعه بسیار کوچکی از اهداف” را انتخاب میکند و حملات آنها علیه دولتها، نهادهای دیپلماتیک و سازمانهای دفاعی با هدف جمعآوری اطلاعات درباره سیاست خارجی یا امور جاری انجام میشود.
زنجیرههای حمله این گروه معمولاً از ایمیلهای فیشینگ هدفمند استفاده میکنند. پیامها از ارائهدهندگانی مانند 163.com، 126.com و ProtonMail ارسال میشوند یا از حسابهای هک شده مرتبط با دولتهای پاکستان، بنگلادش و ماداگاسکار استفاده میشود.
این گروه همچنین با جعل هویت نهادهای دولتی و دیپلماتیک چین، ماداگاسکار، موریس و کره جنوبی، گیرندگان را به باز کردن پیوستهای آلوده به بدافزار ترغیب میکند.
شرکت امنیتی اعلام کرد: “بر اساس محتوا و اسناد طعمه استفاده شده، مشخص است که TA397 هیچ ابایی از جعل هویت دولتهای دیگر کشورها، از جمله متحدان هند ندارد. در حالی که اهداف این کمپینها نهادهای ترکیهای و چینی با حضور در اروپا بودند، این نشان میدهد که گروه احتمالاً دانش و دید کاملی نسبت به امور قانونی ماداگاسکار و موریس دارد.”
علاوه بر این، مشخص شده که Bitter در دو کمپین مجزا علیه سازمانهای دولتی، فعالیتهای دستی روی صفحهکلید انجام میدهد تا فعالیتهای شناسایی بیشتری روی میزبانهای هدف انجام دهد و بارهای مخرب اضافی مانند KugelBlitz و BDarkRAT را منتشر کند.
BDarkRAT یک تروجان NET. است که اولین بار در سال 2019 مستند شد و قابلیتهای استاندارد تروجان دسترسی از راه دور مانند جمعآوری اطلاعات سیستم، اجرای دستورات شل، دانلود فایلها و مدیریت فایلها روی میزبان آلوده را دارد.
خانوادههای بدافزار Bitter شامل موارد زیر است:
ArtraDownloader: دانلودکنندهای نوشته شده با ++C که اطلاعات سیستم را جمعآوری کرده و از درخواستهای HTTP برای دانلود و اجرای فایل از راه دور استفاده میکند.
Keylogger: ماژول ++C که در کمپینهای مختلف برای ثبت ضربات کلید و محتوای کلیپبورد استفاده میشود.
WSCSPL Backdoor: درب پشتی که از طریق ArtraDownloader تحویل داده میشود و از دستورات برای دریافت اطلاعات ماشین، اجرای دستورات از راه دور و دانلود و اجرای فایلها پشتیبانی میکند.
MuuyDownloader (معروف به ZxxZ): تروجانی که امکان اجرای کد از راه دور بارهای دریافتی از سرور راه دور را فراهم میکند.
Almond RAT: تروجان NET. که عملکرد جمعآوری دادههای پایه و توانایی اجرای دستورات دلخواه و انتقال فایلها را ارائه میدهد.
ORPCBackdoor: درب پشتی که از پروتکل RPC برای ارتباط با سرور فرماندهی و کنترل استفاده میکند و دستورات اپراتور را اجرا میکند.
KiwiStealer: سارقی که فایلهای با پسوندهای از پیش تعریف شده، کوچکتر از 50 مگابایت و تغییر یافته در سال گذشته را جستجو کرده و به سرور راه دور ارسال میکند.
KugelBlitz: بارگذار شلکد که برای استقرار چارچوب C2 Havoc استفاده میشود.
تیم Knownsec 404 گزارش داده که ORPCBackdoor به گروه تهدیدی به نام Mysterious Elephant نسبت داده میشود که با دیگر خوشههای تهدید همراستا با هند مانند SideWinder، Patchwork، Confucius و Bitter همپوشانی دارد.
تحلیل فعالیتهای دستی نشاندهنده “برنامه کاری دوشنبه تا جمعه در منطقه زمانی استاندارد هند (IST)” است که با زمان ثبت دامنههای WHOIS و صدور گواهیهای TLS نیز مطابقت دارد.
محققان نتیجهگیری کردند: “TA397 یک بازیگر تهدید متمرکز بر جاسوسی است که به احتمال بسیار زیاد از طرف یک سازمان اطلاعاتی هند فعالیت میکند. نشانههای واضحی وجود دارد که بیشتر فعالیتهای مرتبط با زیرساخت در ساعات کاری استاندارد در منطقه زمانی IST رخ میدهد.”
کلمات کلیدی : گروه هکری Bitter, بدافزار, جاسوسی سایبری, حملات فیشینگ, امنیت سایبری, تروجان دسترسی از راه دور
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.