Un groupe de cyberespionnage connu sous le nom de « Bitter » a été observé ciblant des organisations de défense en Turquie à l’aide d’une nouvelle famille de logiciels malveillants nommée MiyaRAT.
MiyaRAT est utilisé aux côtés du malware WmRAT, un malware de cyberespionnage précédemment associé à Bitter.
Proofpoint a découvert la campagne et rapporte que le nouveau malware est probablement réservé à des cibles de grande valeur, déployées uniquement sporadiquement.
Bitter est un groupe présumé de cyberespionnage sud-asiatique actif depuis 2013, ciblant le gouvernement et des organisations critiques en Asie.
En 2022, ils ont été repérés par Cisco Talos lors d’attaques contre le gouvernement bangladais, utilisant une faille d’exécution de code à distance dans Microsoft Office pour supprimer des chevaux de Troie.
L’année dernière, Intezer a rapporté que Bitter se faisait passer pour l’ambassade du Kirghizistan à Pékin dans le cadre d’attaques de phishing ciblant diverses sociétés chinoises d’énergie nucléaire et des universitaires.
Abuser de flux de données alternatifs
Les attaques en Turquie ont commencé avec un e-mail contenant un leurre pour un projet d’investissement étranger, auquel était jointe une archive RAR.
L’archive contient un fichier PDF leurre (~tmp.pdf), un fichier de raccourci déguisé en PDF (PUBLIC INVESTMENTS PROJECTS 2025.pdf.lnk) et des flux de données alternatifs (ADS) intégrés dans le fichier RAR nommés « Participation » et » Zone.Identifiant. »
Si le destinataire ouvre le fichier LNK, il déclenche l’exécution du code PowerShell caché dans l’ADS, qui ouvre le PDF leurre légitime pour se distraire. En même temps, il crée une tâche planifiée nommée « DsSvcCleanup » qui exécute une commande curl malveillante toutes les 17 minutes.
La commande atteint un domaine intermédiaire (jacknwoods[.]com) et attend des réponses telles que des commandes pour télécharger des charges utiles supplémentaires, effectuer une reconnaissance du réseau ou voler des données.
Proofpoint rapporte qu’une commande visant à récupérer WmRAT (anvrsa.msi) lors de l’attaque qu’ils ont examinée a été envoyée dans les 12 heures.
.jpg)
Source : Proofpoint
Les logiciels malveillants WmRAT et MiyaRAT
Bitter a d’abord déployé WmRAT sur la cible, mais lorsqu’il n’a pas réussi à établir la communication avec le serveur de commande et de contrôle, il a téléchargé MiyaRAT (gfxview.msi).
Les deux logiciels malveillants sont des chevaux de Troie d’accès à distance (RAT) C++ qui fournissent à Bitter des capacités d’exfiltration de données, de contrôle à distance, de capture d’écran, d’exécution de commandes (CMD ou PowerShell) et de surveillance du système.
MiyaRAT est plus récent et généralement plus raffiné, avec un cryptage des données et des communications plus avancé, un shell inversé interactif et un contrôle amélioré des répertoires et des fichiers.
Son déploiement plus sélectif par Bitter peut indiquer que les acteurs de la menace le réservent à des cibles de grande valeur, minimisant ainsi son exposition aux analystes.
Les indicateurs de compromission (IoC) associés à cette attaque sont répertoriés au bas de Le rapport de Proofpointalors qu’une règle YARA pour aider à détecter la menace est disponible ici.
.png?width=1200&height=630&fit=crop&enable=upscale&auto=webp&w=360&resize=360,180&ssl=1 "Helldivers 2 reçoit le tout premier crossover avec les cosmétiques Killzone 2")
