痛苦的APT黑客将孟加拉国列入南亚目标名单

作为 2021 年 8 月开始的持续活动的一部分，一个以中国、巴基斯坦和沙特阿拉伯为目标的以间谍活动为重点的威胁行为者已扩大范围，将目光投向了孟加拉国政府组织。

网络安全公司思科塔洛斯（Cisco Talos）将此次活动归因于一个被称为“苦涩的APT”的黑客组织，该组织基于指挥与控制（C2）基础设施与同一参与者之前发起的活动的重叠。

Cisco Talos EMEA和亚洲首席安全研究员维托·文图拉（Vitor Ventura）告诉《黑客新闻》（Hacker News），“孟加拉国符合我们为这一威胁行为体定义的形象，之前的目标是包括中国、巴基斯坦和沙特阿拉伯在内的东南亚国家”。

“现在，在这场最新的运动中，他们已经扩大了对孟加拉国的影响力。任何东南亚新国家都不应该感到意外”。

Bitter（又名APT-C-08或T-APT-17）被怀疑是一个南亚黑客组织，其动机主要是情报收集，这一行动是通过Biterrat、ArtraDownloader和AndroRAT等恶意软件进行的。突出目标包括能源、工程和政府部门。

最早发布手机版Biterrat的攻击可追溯到2014年9月，该演员有利用零日漏洞的历史，CVE-2021-1732和CVE-2021-28310，并实现其敌对目标。

最近的一场针对孟加拉国政府一个精英实体的运动涉及向孟加拉国警察快速行动营（RAB）的高级官员发送矛式网络钓鱼电子邮件。

正如在其他此类社会工程攻击中通常看到的那样，这些邮件旨在诱使收件人打开一个武器化的RTF文档或Microsoft Excel电子表格，利用软件中以前已知的缺陷部署一个名为“ZxxZ”的新特洛伊木马

ZxxZ是以恶意软件在将信息发送回C2服务器时使用的分隔符命名的，是用Visual C++编译的32位Windows可执行文件。

研究人员解释说：“特洛伊木马伪装成Windows安全更新服务，允许恶意参与者执行远程代码执行，允许攻击者通过安装其他工具执行任何其他活动”。

恶意RTF文档利用Microsoft Office公式编辑器（CVE-2017-11882）中的内存损坏漏洞，Excel文件滥用两个远程代码执行缺陷CVE-2018-0798和CVE-2018-0802来激活感染序列。

Ventura说：“行为体经常改变他们的工具以避免被发现或归因，这是威胁行为体生命周期的一部分，显示其能力和决心”。