Un groupe de piratage de cyberespionnage suivi sous le nom de « Bitter APT » a récemment été vu ciblant l’industrie chinoise de l’énergie nucléaire en utilisant des e-mails de phishing pour infecter des appareils avec des téléchargeurs de logiciels malveillants.
Bitter est un groupe de piratage sud-asiatique présumé connu pour cibler des organisations de premier plan dans les secteurs de l’énergie, de l’ingénierie et du gouvernement dans la région Asie-Pacifique.
En mai 2022, Bitter APT a été repéré en utilisant des e-mails de spear phishing avec des pièces jointes de documents XLSX malveillantes pour charger un cheval de Troie nommé « ZxxZ » sur des cibles en Asie du Sud-Est.
En août 2022, Meta a signalé que Bitter APT utilisait un nouvel outil de logiciel espion Android nommé « Dracarys » contre des utilisateurs en Nouvelle-Zélande, en Inde, au Pakistan et au Royaume-Uni.
Cette campagne de piratage a été découverte par les analystes des menaces d’Intezer, qui l’attribuent à Bitter APT sur la base des TTP observés (tactiques, techniques et procédures) qui correspondent à ceux des campagnes précédentes du même acteur menaçant.
Cibler le champ nucléaire chinois
Dans la nouvelle campagne découverte par Intezer, Bitter envoie des e-mails prétendant provenir de l’ambassade du Kirghizistan à Pékin à diverses sociétés chinoises d’énergie nucléaire et à des universitaires liés à ce domaine.
L’e-mail prétend être une invitation à une conférence sur l’énergie nucléaire prétendument organisée par l’ambassade kirghize, l’Agence internationale de l’énergie atomique (AIEA) et l’Institut chinois des études internationales (CIIS).
Le nom qui signe l’e-mail est authentique, appartenant à un fonctionnaire du ministère des Affaires étrangères du Kirghizistan, ce qui montre l’attention de Bitter APT aux détails qui contribuent à renforcer la légitimité de leurs communications.
Les destinataires sont invités à télécharger la pièce jointe RAR de l’e-mail qui contient soi-disant une carte d’invitation pour la conférence mais qui, en réalité, contient soit un fichier d’aide HTML compilé (CHM) de Microsoft, soit un document Excel malveillant.
Chute de charges utiles
Dans la plupart des cas, Bitter APT utilise une charge utile CHM qui exécute des commandes pour créer des tâches planifiées sur le système compromis et télécharger l’étape suivante.
Lorsqu’un document Excel se cache dans les pièces jointes RAR téléchargées, la tâche planifiée est ajoutée en exploitant une ancienne vulnérabilité de l’éditeur d’équation déclenchée par l’ouverture du document malveillant.
Intezer commente que l’acteur de la menace préfère probablement les charges utiles CHM car celles-ci n’exigent pas que la cible utilise une version vulnérable de Microsoft Office, peuvent contourner l’analyse statique grâce à sa compression LZX et nécessitent une interaction minimale de l’utilisateur pour fonctionner.
La charge utile de deuxième étape est un fichier MSI ou PowerShell si une charge utile CHM est utilisée ou un fichier EXE dans le cas de la charge utile du document Excel.
Pour échapper à la détection et à l’exposition, les charges utiles du deuxième étage sont vides. Cependant, lorsque les charges utiles de la première étape envoient des informations sur l’appareil piraté au serveur de commande et de contrôle de l’attaquant, il déterminera s’il s’agit d’une cible précieuse et fournira de véritables logiciels malveillants au système compromis.
Les analystes d’Intezer n’ont pu récupérer aucune charge utile réelle livrée dans cette campagne, mais ont émis l’hypothèse qu’ils pourraient inclure des enregistreurs de frappe, des RAT (outils d’accès à distance) et des voleurs d’informations.
Pièces jointes à risque
Les fichiers CHM étaient autrefois populaires pour la documentation des logiciels et les fichiers d’aide, mais ne sont plus couramment utilisés, et encore moins dans les communications par e-mail.
Les destinataires d’e-mails doivent faire preuve d’une vigilance accrue lorsqu’ils rencontrent des fichiers CHM dans des archives jointes, car ces fichiers peuvent potentiellement héberger du contenu malveillant.
Enfin, les archives elles-mêmes doivent également être traitées avec suspicion, car elles peuvent contourner les analyses antivirus et, par conséquent, la probabilité qu’elles soient malveillantes est élevée.