APT Bitter Бангладеш хакерские атаки ZxxZ RAT троян SecuInfra Cisco Talos
По данным Cisco Talos, вредоносная кампания продолжается с августа 2021 года.
Информация об атаках поступила от группы экспертов из компании SecuInfra, которые во вторник опубликовали сообщение, описывающее последние вредоносные кампании Bitter APT. Специалисты заявляют, что хакеры шпионят за военными организациями Бангладеш, внедряя в системы RAT-трояны с помощью вредоносных файлов.
Seclunfra основывается на отчете, опубликованном Cisco Talos в мая прошлого года (в котором сообщалось о расширении APT и ее намерениях атаковать правительственные организации Бангладеш) и описывают атаку, которая была произведена в середине мая 2022 года.
Атака начиналась с вредоносного документа Excel, распространяемого через фишинговые электронные письма. Как только жертва открывала письмо, активировался эксплойт уязвимости в Microsoft Equation Editor ( CVE-2018-0798 ) и развертывал полезную нагрузку ZxxZ с удаленного сервера, принадлежащего хакерам.
Затем ZxxZ внедрялся в Visual C++ и работал как имплант, позволяющий злоумышленникам развертывать дополнительные вредоносные программы. дополнительное вредоносное ПО.
Bitter APT отказались от разделителя значений ZxxZ в обмен на простое подчеркивание. Согласно данным SecuInfra, группировка сделала это, чтобы избежать обнаружения через системы IDS/IPS, основанные на этом специфическом разделителе.
Компания заявила, что будет продолжать следить за этой хакерской группировкой и сообщать об изменениях в тактике и методах злоумышленников.
SECURITYLAB.RU
