‘Acı’ olarak bilinen bir siber casusluk tehdit grubunun, MiyaRAT adlı yeni bir kötü amaçlı yazılım ailesini kullanarak Türkiye’deki savunma kuruluşlarını hedef aldığı gözlemlendi.
MiyaRAT, daha önce Bitter ile ilişkilendirilen siber casusluk kötü amaçlı yazılımı olan WmRAT kötü amaçlı yazılımıyla birlikte kullanılıyor.
Proofpoint kampanyayı keşfetti ve yeni kötü amaçlı yazılımın muhtemelen yüksek değerli hedefler için ayrıldığını ve yalnızca ara sıra dağıtıldığını bildirdi.
Bitter, 2013’ten bu yana aktif olan ve Asya’daki hükümeti ve kritik kuruluşları hedef alan, Güney Asyalı olduğundan şüphelenilen bir siber casusluk tehdit grubudur.
2022’de Cisco Talos tarafından, truva atlarını düşürmek için Microsoft Office’teki bir uzaktan kod yürütme kusurunu kullanarak Bangladeş hükümetine yönelik saldırılarda tespit edildiler.
Geçtiğimiz yıl Intezer, Bitter’in çeşitli Çinli nükleer enerji şirketlerini ve akademisyenleri hedef alan kimlik avı saldırılarında Kırgızistan’ın Pekin Büyükelçiliği’ni taklit ettiğini bildirmişti.
Alternatif veri akışlarının kötüye kullanılması
Türkiye’deki saldırılar, yabancı yatırım projesi cazibesi içeren ve RAR arşivinin eklendiği bir e-postayla başladı.
Arşiv, sahte bir PDF dosyası (~tmp.pdf), PDF olarak gizlenmiş bir kısayol dosyası (KAMU YATIRIMLARI PROJELERİ 2025.pdf.lnk) ve RAR dosyasına gömülü “Katılım” ve “adlı alternatif veri akışları (ADS) içerir. Bölge. Tanımlayıcı.”
Alıcı LNK dosyasını açarsa, ADS’de gizli olan PowerShell kodunun yürütülmesini tetikler ve bu da dikkat dağıtmak için yasal tuzak PDF’yi açar. Aynı zamanda, her 17 dakikada bir kötü amaçlı curl komutunu çalıştıran “DsSvcCleanup” adlı zamanlanmış bir görev oluşturur.
Komut bir hazırlama alanına ulaşır (jacknwoods[.]com) ve ek yük indirme, ağ keşfi yapma veya veri çalma komutları gibi yanıtları bekler.
Proofpoint, inceledikleri saldırıda WmRAT (anvrsa.msi) getirme komutunun 12 saat içinde yerine getirildiğini bildirdi.
.jpg)
Kaynak: Kanıt noktası
WmRAT ve MiyaRAT kötü amaçlı yazılımı
Bitter ilk olarak WmRAT’ı hedefe konuşlandırdı ancak komuta ve kontrol sunucusuyla iletişim kuramayınca MiyaRAT’ı (gfxview.msi) indirdi.
Her iki kötü amaçlı yazılım da, Bitter’a veri sızdırma, uzaktan kontrol, ekran görüntüsü yakalama, komut yürütme (CMD veya PowerShell) ve sistem izleme yetenekleri sağlayan C++ uzaktan erişim truva atlarıdır (RAT’ler).
MiyaRAT daha yeni ve genel olarak daha gelişmiş olup, daha gelişmiş veri ve iletişim şifrelemesi, etkileşimli bir ters kabuk ve gelişmiş dizin ve dosya kontrolü içerir.
Bitter tarafından daha seçici bir şekilde konuşlandırılması, tehdit aktörlerinin onu yüksek değerli hedeflere ayırdığını ve analistlere maruz kalma olasılığını en aza indirdiğini gösterebilir.
Bu saldırıyla ilişkili güvenlik ihlali göstergeleri (IoC’ler), Proofpoint raporunun alt kısmında listelenirken, tehdidin tespit edilmesine yardımcı olacak bir YARA kuralı burada mevcuttur.