Νέα δραστηριότητα έχει παρατηρηθεί από την Bitter, μια ομάδα APT που επικεντρώνεται στην κυβερνοκατασκοπεία, στοχεύοντας την κυβέρνηση του Μπαγκλαντές με νέο κακόβουλο λογισμικό με δυνατότητες απομακρυσμένης εκτέλεσης αρχείων.
Η επίθεση βρίσκεται σε εξέλιξη τουλάχιστον από τον Αύγουστο του 2021 και αποτελεί ένα τυπικό παράδειγμα του εύρους στόχευσης του Bitter, το οποίο παραμένει αμετάβλητο από το 2013.
Η ανακάλυψη και οι λεπτομέρειες αυτής της επίθεσης προέρχονται από αναλυτές απειλών της Cisco Talos, οι οποίοι κοινοποίησαν την έκθεσή τους .
Οι ερευνητές της Cisco Talos αποδίδουν αυτήν την καμπάνια στο Bitter που βασίζεται σε επικαλύψεις διευθύνσεων IP C2 με προηγούμενες καμπάνιες, κοινά στοιχεία κρυπτογράφησης συμβολοσειρών και το σχήμα ονοματοδοσίας λειτουργικών μονάδων.
Αλυσίδα μόλυνσης
Κατά τη διάρκεια αυτής της εκστρατείας, η οποία στοχεύει διάφορους οργανισμούς εντός της κυβέρνησης του Μπαγκλαντές, η Cisco παρατήρησε δύο αλυσίδες μόλυνσης, και οι δύο ξεκινώντας με ένα email ηλεκτρονικού ψαρέματος .
Αυτά τα μηνύματα αποστέλλονται μέσω πλαστών διευθύνσεων email για να φαίνονται σαν να προέρχονται από κυβερνητικούς οργανισμούς του Πακιστάν.
Αυτό ήταν πιθανόν δυνατό με την εκμετάλλευση ενός ελαττώματος στον διακομιστή αλληλογραφίας Zimbra που επέτρεπε στους εισβολείς να στέλνουν μηνύματα από έναν ανύπαρκτο λογαριασμό/τομέα email.
Η διαφορά μεταξύ των δύο αλυσίδων μόλυνσης έγκειται στον τύπο του αρχείου που επισυνάπτεται στο κακόβουλο email: το ένα έχει ένα έγγραφο .RTF και το άλλο ένα έγγραφο .XLSX.
Τα θέματα που χρησιμοποιούνται σε αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου σχετίζονται με τα αρχεία κλήσεων και την επαλήθευση αριθμών που σχετίζονται με τις πραγματικές κυβερνητικές λειτουργίες.