Когда фишинг пахнет спецслужбой — Bitter снова в игре, и запах явно индийский

Хакерская группировка Bitter , также известная как TA397, была вновь связана с операциями, ориентированными на интересы индийских спецслужб. Об этом говорится в совместном отчёте компаний Proofpoint и Threatray , в котором представлены новые подробности о тактике, арсенале и географическом охвате группы.

Bitter действует как шпионская структура, основной целью которой является сбор информации в интересах внешнеполитического и оборонного сектора. Группа активна с 2013 года и известна также под кодовыми именами APT -C-08, APT-Q-37, Hazy Tiger, Orange Yali и T-APT-17. Ранее её деятельность фокусировалась на странах Южной Азии, однако в последние месяцы наблюдается расширение её зоны интересов на другие регионы, включая Турцию, Китай, Южную Америку и Ближний Восток.

Зимой 2024 года группа была замечена в атаках на турецкие цели с использованием вредоносных программ WmRAT и MiyaRAT. Эти атаки сопровождались маскировкой под дипломатические структуры других государств, включая Китай, Мадагаскар, Маврикий и Южную Корею. При этом применялись фишинговые письма с вложениями, заражёнными вредоносным кодом. Письма рассылались как с популярных сервисов , таких как «163[.]com», «126[.]com» и ProtonMail, так и со скомпрометированных правительственных аккаунтов Пакистана, Бангладеш и Мадагаскара.

Исследователи подчёркивают, что TA397 использует весьма ограниченный список целей и тщательно готовится к каждой кампании. Атаки направлены на дипломатические учреждения, министерства обороны и другие правительственные организации. Приманками служат правдоподобные документы, зачастую взятые из реального документооборота союзных Индии государств, что может свидетельствовать о наличии инсайдерской информации.

Особое внимание в отчёте уделено активности, предполагающей ручное управление заражёнными системами. В ходе двух зафиксированных кампаний участники Bitter после получения доступа проводили углублённую разведку с последующей доставкой дополнительных вредоносных компонентов — в частности, KugelBlitz и BDarkRAT. Последний представляет собой .NET-троян с функциями сбора информации о системе, выполнения команд, загрузки и управления файлами.

Анализ кода и архитектуры вредоносных программ Bitter демонстрирует устойчивые паттерны, характерные для всей их инфраструктуры. Особенно это касается методов сбора системной информации и способов скрытия строк в коде.

Среди ключевых инструментов группировки:

• ArtraDownloader — модуль на C++, собирающий информацию о системе и загружающий удалённые файлы через HTTP;
• Keylogger — программа на C++ для перехвата нажатий клавиш и содержимого буфера обмена;
• WSCSPL Backdoor — бэкдор, передающий сведения о системе и выполняющий команды оператора;
• MuuyDownloader (ZxxZ) — троян с функцией удалённого исполнения команд;
• Almond RAT — троян на .NET, позволяющий выполнять произвольные команды и передавать файлы;
• ORPCBackdoor — бэкдор, использующий RPC-протокол для связи с сервером управления;
• KiwiStealer — инструмент для кражи файлов по заданным критериям: изменённые за последний год, объёмом до 50 МБ и с определёнными расширениями;
• KugelBlitz — загрузчик шелл-кода, предназначенный для запуска фреймворка Havoc C2.

ORPCBackdoor, по данным Knownsec 404 Team, пересекается с активностью другой индийской группировки — Mysterious Elephant. В отчёте также указывается, что инфраструктура и активность TA397 совпадают по временным меткам с рабочими днями по индийскому часовому поясу, а регистрация доменов и выпуск TLS-сертификатов происходят преимущественно в будние дни.

По совокупности признаков специалисты приходят к выводу, что TA397 с высокой вероятностью действует в интересах индийской разведки. Технический уровень операций, строгое соблюдение графика и подбор целевых документов подтверждают наличие организованной поддержки и долгосрочного планирования.