Asiatische Hackergruppe "Bitter" greift plötzlich türkisches Militär an
Eine Cyberspionage-Gruppe namens "Bitter" hat militärische Organisationen in der Türkei ins Visier genommen. Dabei setzt die seit 2013 aktive Hackergruppe auf eine neue Malware namens MiyaRAT, wie der Sicherheitsanbieter Proofpoint berichtet.
Die aktuellen Angriffe in der Türkei begannen mit einer Phishing-E-Mail, die ein vermeintlich harmloses Projekt zu Auslandsinvestitionen thematisierte. Der Anhang der E-Mail enthielt ein RAR-Archiv mit einer manipulierten Windows-Verknüpfungsdatei, die bei Aktivierung PowerShell-Code ausführt. Gleichzeitig öffnet sich ein Ablenkungs-PDF, um die Malware-Installation zu verschleiern.
Nach der Aktivierung der LNK-Datei richtet die Malware einen geplanten Task ein, der alle 17 Minuten Kontakt zu einer Kommandodomain aufnimmt. In den untersuchten Fällen lud die Malware zunächst WmRAT herunter, wechselte jedoch zu MiyaRAT, wenn der Erstkontakt fehlschlug.
Die Angriffe verdeutlichen die anhaltende Bedrohung durch gezielte Cyberoperationen. Besonders kritisch ist die Verwendung von Alternate Data Streams (ADS), die bösartigen Code in harmlos wirkenden Dateien verstecken. Proofpoint hat Indikatoren für die Angriffe veröffentlicht, darunter YARA-Regeln, die helfen sollen, diese Bedrohung frühzeitig zu erkennen.
Siehe auch:
Ungewohnte Umgebung
Diese neuartige Schadsoftware kommt nur bei besonders hochrangigen Zielen zum Einsatz und wird durch die bereits bekannte Malware WmRAT ergänzt. Bitter ist eine mutmaßlich südasiatische Hackergruppe, die auf Regierungsorganisationen und kritische Infrastrukturen spezialisiert ist. In der Vergangenheit führte sie vor allem Angriffe in Asien durch, darunter 2022 gegen die Regierung von Bangladesch. Auch in China wurde sie aktiv, indem sie sich als kirgisische Botschaft tarnte, um Unternehmen der Nuklearindustrie auszuspionieren.Die aktuellen Angriffe in der Türkei begannen mit einer Phishing-E-Mail, die ein vermeintlich harmloses Projekt zu Auslandsinvestitionen thematisierte. Der Anhang der E-Mail enthielt ein RAR-Archiv mit einer manipulierten Windows-Verknüpfungsdatei, die bei Aktivierung PowerShell-Code ausführt. Gleichzeitig öffnet sich ein Ablenkungs-PDF, um die Malware-Installation zu verschleiern.
Nach der Aktivierung der LNK-Datei richtet die Malware einen geplanten Task ein, der alle 17 Minuten Kontakt zu einer Kommandodomain aufnimmt. In den untersuchten Fällen lud die Malware zunächst WmRAT herunter, wechselte jedoch zu MiyaRAT, wenn der Erstkontakt fehlschlug.
Differenzierter Einsatz
Bei beiden Schadprogrammen handelt es sich um Remote Access Trojans (RATs), die Daten abgreifen, Screenshots erstellen, Dateien manipulieren und Netzwerke ausspähen können. MiyaRAT verfügt jedoch über fortschrittlichere Funktionen wie verbesserte Verschlüsselung, eine interaktive Rückverbindung und erweiterte Kontrolle über Dateien und Verzeichnisse. Die selektive Nutzung von MiyaRAT deutet darauf hin, dass Bitter die Malware nur bei besonders wertvollen Zielen einsetzt, um ihre Analyse durch Sicherheitsexperten zu erschweren.Die Angriffe verdeutlichen die anhaltende Bedrohung durch gezielte Cyberoperationen. Besonders kritisch ist die Verwendung von Alternate Data Streams (ADS), die bösartigen Code in harmlos wirkenden Dateien verstecken. Proofpoint hat Indikatoren für die Angriffe veröffentlicht, darunter YARA-Regeln, die helfen sollen, diese Bedrohung frühzeitig zu erkennen.
Zusammenfassung
- Hackergruppe 'Bitter' attackiert türkische Militäreinrichtungen mit MiyaRAT
- Angriffe beginnen mit Phishing-Mails zu vermeintlichen Auslandsinvestitionen
- Malware nimmt alle 17 Minuten Kontakt zu einer Kommandodomain auf
- WmRAT und MiyaRAT können Daten abgreifen und Netzwerke ausspionieren
- Die Gruppe ist seit 2013 aktiv und griff zuvor Ziele in Bangladesch und China an
- Alternate Data Streams verstecken den bösartigen Code in harmlosen Dateien
Siehe auch:
Thema:
