Yaygın olarak Güney Asya’da faaliyet gösterdiği düşünülen ve Bitter (APT-Q-37) olarak bilinen bir siber casusluk grubu, yüksek değerli hedeflere ait bilgisayarlara kötü amaçlı bir arka kapı programı yüklemek için yeni ve sinsi yöntemler kullanıyor.
Bu grubun, özellikle Çin ve Pakistan gibi ülkelerdeki hükümet, elektrik enerjisi ve askeri endüstrilerdeki kuruluşlardan hassas bilgileri çalma konusunda uzun bir geçmişi var.
Qi’anxin Tehdit İstihbarat Merkezi yakın zamanda bu yeni saldırıları açığa çıkardı; bu saldırılar, kurbanın makinesine diğer zararlı yazılımları (EXE dosyaları) uzaktan indirip çalıştırabilen tek bir C# arka kapısını yerleştirmeyi amaçlıyor.
Gizlice İçeri Girmenin İki Yeni Yolu
Araştırmacılara göre Bitter APT, bu arka kapıyı dağıtmak için sahte bir konferans dosyası ve bir arşiv dosyası da dahil olmak üzere en az iki farklı yöntem kullanıyor.
Sahte Konferans Dosyası (Mod 1)
İlk yöntemde özel bir Microsoft Office dosyası kullanılır; bu durumda Adanmış Yetkililer adı verilir. Conference.xlam. Kurban yerleşik talimatları (makroları) etkinleştirdiğinde, kullanıcıyı kandırmak için “Dosya ayrıştırma başarısız oldu, içerik bozuk” şeklinde sahte bir hata mesajı görüntüleniyor.
Bu arada makro, yerel bilgisayar araçlarını (.NET çerçevesindekiler gibi) kullanarak C# arka kapı kodunu sessizce oluşturur ve onu çalışan bir programa dönüştürür (vlcplayer.dll). Ayrıca saldırganlar, arka kapının bilgisayarda aktif kalmasını sağlamak için bir komut dosyası kullanarak zamanlanmış bir görev ayarlıyor ve daha fazla komut almak için grupla ilişkili bir web adresine bağlanıyor.
Zor Arşiv Dosyası (Mod 2)
Bu, WinRAR yazılımındaki daha eski, yama yapılmamış bir kusurdan yararlanan sıkıştırılmış bir dosya (RAR arşivi) içeren, ikisinin daha sinsi yöntemidir. Bu kötü amaçlı RAR dosyası (AJK.rar için Sektörel Bilgi Sağlama başlıklı), zararsız görünen bir Word dosyasının yanı sıra, adı verilen gizli, kötü amaçlı bir şablon dosyası içerir. Normal.dotm.
Bir kullanıcı bu arşivi çıkarırsa, kusur buna izin verir Normal.dotm sistemlerindeki gerçek şablon dosyasını değiştirmek için. Kurban herhangi bir Word belgesini açtığında, program değiştirilmiş şablonu yükler ve bu şablon daha sonra son arka kapı programını çalıştırmak için uzak bir sunucuya bağlanır (winnsc.exe), Mod 1’dekiyle aynı zararlı eylemleri gerçekleştirir.
Ortak Hedef: Veri Çalmak
Her iki saldırının da sonuçta temel cihaz bilgilerini toplamak için aynı C# arka kapısını kurduğunu belirtmekte fayda var. Araştırmacılar, bu yılın nisan ayında tescil edilen alan adları da dahil olmak üzere, bu iki ayrı saldırıda kullanılan altyapının güçlü bir şekilde Bitter grubunu işaret ettiğini belirtiyor.
Araştırmacılar blog yazısında şunları kaydetti: “Yukarıdaki iki saldırı sonuçta aynı C# arka kapısını kullanıyor ve arka kapı iletişiminin C&C sunucusu, bu yıl Nisan ayında kaydedilen esanojinjasvc.com’un alt etki alanına işaret ediyor, dolayısıyla bu örneklerin aynı saldırı grubundan geldiğini varsayabiliriz.”
Merkez, güvende kalmak için kullanıcıları bilinmeyen e-posta eklerine karşı çok dikkatli olmaya, WinRAR gibi yazılımları güncel tutmaya, makroları devre dışı bırakmaya, ağ trafiğini şüpheli etkinlik açısından izlemeye ve güvenilmeyen dosyaları güvenli bir şekilde incelemek için sanal alan gibi özel araçlar kullanmaya teşvik ediyor.