Thought Leadership
Die Security-Experten von Proofpoint haben einen neuen Angriff der APT-Gruppe TA397 (auch unter dem Namen „Bitter“ bekannt) näher analysiert. Die untersuchte Attacke richtete sich gegen eine Organisation aus der türkischen Rüstungsbranche und fand im November 2024 statt.
Die Cybercrime-Gruppe, die für Spionageangriffe in Europa und dem asiatisch-pazifischen Raum bekannt ist, nutzte dabei neue Angriffsmethoden, die eine ihre bisherigen Taktiken, Techniken und Verfahren (TTPs) weiterentwickeln. Insbesondere die Verwendung von alternativen Datenströmen (ADS) innerhalb von RAR-Archiven ist dabei bemerkenswert.
Der Angriff begann mit einer Spear-Phishing-E-Mail, die von einem kompromittierten Konto einer Regierungsorganisation stammte. Die Mail enthielt als Dateianhang ein RAR-Archiv mit einer harmlosen PDF-Datei über ein Weltbank-Infrastrukturprojekt in Madagaskar. Versteckt im Archiv befanden sich jedoch auch eine getarnte Verknüpfungsdatei (LNK) sowie versteckte ADS-Dateien, die einen bösartigen PowerShell-Code enthielten.
Bei Öffnung der LNK-Datei wurde der versteckte PowerShell-Code ausgeführt, während die harmlose PDF angezeigt wurde. Der Code erstellte eine geplante Aufgabe („DsSvcCleanup“), die alle 17 Minuten Systeminformationen an einen Staging-Server (jacknwoods[.]com) sendete. Die Angreifer reagierten manuell auf diese Anfragen und übertrugen in diesem Fall zwei verschiedene Malware-Familien: WmRAT und MiyaRAT. Zusätzlich erbeuteten sie Informationen über das Zielsystem, einschließlich laufender Prozesse und installierter Antivirensoftware.
Die Kampagne zeigt charakteristische Merkmale von TA397 und deutet auf eine Weiterentwicklung ihrer Taktiken. Die Zeitzonenanalyse (UTC+5:30) und weitere Indizien legen nahe, dass die Gruppe im Auftrag einer südasiatischen Regierung operiert.
(pd/Proofpoint)
