コンテンツにスキップするには Enter キーを押してください

研究者がBitter APTの進化する戦術を詳細に説明し、その地理的範囲が拡大

投稿日 2025年6月5日

Image

Bitterとして知られる脅威アクターは、インド政府の利益に沿った情報収集を任務とする国家支援のハッキンググループであると評価されています。

これは、ProofpointとThreatrayが共同で発表した新しい調査結果によるもので、詳細な 二部構成の分析です。

“彼らの多様なツールセットは、特にシステム情報収集と文字列難読化において、マルウェアファミリー全体で一貫したコーディングパターンを示しています” と研究者のAbdallah Elshinbary、Jonas Wagner、Nick Attfield、Konstantin Klingerは述べています。

Bitterは、APT-C-08、APT-Q-37、Hazy Tiger、Orange Yali、T-APT-17、TA397としても知られ、主に南アジアの組織に焦点を当てており、選択的な侵入は中国、サウジアラビア、南アメリカも対象としています。

2024年12月、WmRATやMiyaRATなどのマルウェアファミリーを使用してトルコを標的にした証拠が明らかになり、地理的な拡大を示しています。

Bitterが頻繁に「非常に小さなターゲットのサブセット」を選び出すと述べ、Proofpointは、攻撃が外国政策や時事問題に関する情報収集を可能にするために、政府、外交機関、防衛組織を狙っていると述べました。

このグループによって仕掛けられる攻撃チェーンは通常、スピアフィッシングメールを利用し、163[.]com、126[.]com、ProtonMailのようなプロバイダーから送信されるメッセージや、パキスタン、バングラデシュ、マダガスカルの政府に関連するアカウントが侵害されます。

また、この脅威アクターは、中国、マダガスカル、モーリシャス、韓国の政府や外交機関を装って、受信者をマルウェアが仕込まれた添付ファイルに誘導し、マルウェアの展開を引き起こすキャンペーンも観察されています。

Image
Bitterの感染チェーンの概要

“コンテンツとデコイドキュメントに基づいて、TA397が他国の政府、特にインドの同盟国を装うことに何のためらいもないことは明らかです” と企業セキュリティ会社は述べています。

“これらのキャンペーンでのTA397のターゲットは、ヨーロッパに拠点を持つトルコと中国の組織でしたが、グループがマダガスカルとモーリシャスの正当な活動に関する知識と視認性を持ち、スピアフィッシング作戦でその資料を使用していることを示しています。”

さらに、Bitterは政府組織を標的とした2つの異なるキャンペーンで、ターゲットホスト上でのさらなる列挙活動を行い、KugelBlitzや2019年に初めて文書化された.NETトロイの木馬BDarkRATのような追加ペイロードをドロップするために、ハンズオンキーボード活動に従事していることが判明しました。

それは、システム情報の収集、シェルコマンドの実行、ファイルのダウンロード、侵害されたホスト上のファイルの管理などの標準的なリモートアクセス型トロイの木馬の機能を備えています。

Image
Bitterのマルウェアファミリー

その武器庫にある他の既知のツールのいくつかは以下の通りです –

  • ArtraDownloader、C++で書かれたダウンローダーで、システム情報を収集し、HTTPリクエストを使用してリモートファイルをダウンロードおよび実行します
  • Keylogger、キーストロークとクリップボードの内容を記録するために使用されるC++モジュール
  • WSCSPL Backdoor、ArtraDownloaderを介して配信され、マシン情報の取得、リモート指示の実行、ファイルのダウンロードと実行をサポートするバックドア
  • MuuyDownloader (別名ZxxZ)、リモートサーバーから受信したペイロードのリモートコード実行を可能にするトロイの木馬
  • Almond RAT、基本的なデータ収集機能と任意のコマンドの実行およびファイル転送機能を提供する.NETトロイの木馬
  • ORPCBackdoor、RPCプロトコルを使用してC2サーバーと通信し、オペレーター発行の指示を実行するバックドア
  • KiwiStealer、事前定義された拡張子に一致し、50MB未満で、過去1年以内に変更されたファイルを検索し、それらをリモートサーバーに送信するスティーラー
  • KugelBlitz、Havoc C2フレームワークを展開するために使用されるシェルコードローダー

ORPCBackdoorは、Knownsec 404チームによってMysterious Elephantと呼ばれる脅威アクターに帰属されており、SideWinder、Patchwork、Confucius、Bitterを含む他のインドに関連する脅威クラスターと重なっていると述べています。

ハンズオンキーボード活動の分析は、インド標準時(IST)の月曜日から金曜日の勤務時間スケジュールを強調しており、これはWHOISドメイン登録やTLS証明書の発行が行われる時間とも一致しています。

“TA397は、インドの情報機関を代表して活動している可能性が非常に高いスパイ活動に焦点を当てた脅威アクターです” と研究者は述べています。”インフラ関連の活動の大部分がISTタイムゾーンの標準的な営業時間内に行われていることは明らかです。”

翻訳元: https://thehackernews.com/2025/06/bitter-hacker-group-expands-cyber.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です