Кибершпионаж 2.0: скрытые потоки NTFS вскрывают оборонный сектор Турции

Группировка кибершпионажа Bitter, предположительно связанная с Южной Азией, в ноябре 2024 года атаковала организацию оборонного сектора Турции, используя две вредоносные программы WmRAT и MiyaRAT на базе C++.

Исследователи компании Proofpoint сообщили, что атака началась с архива RAR, в котором использовались альтернативные потоки данных. Архив содержал LNK-файл, создающий задачу в планировщике для скачивания дальнейших полезных нагрузок.

Bitter, отслеживаемая также как TA397, действует с 2013 года. Ранее её активности фиксировались в Китае, Пакистане, Индии, Саудовской Аравии и Бангладеш. Основными инструментами группировки были BitterRAT, ArtraDownloader и ZxxZ, что подтверждает явный фокус на азиатский регион.

В ходе последней атаки злоумышленники использовали приманку в виде информации о проектах инфраструктуры на Мадагаскаре. В архиве находился фальшивый PDF-файл и скрытый поток данных с PowerShell-кодом.

Альтернативные потоки данных в файловой системе NTFS позволяют злоумышленникам внедрять скрытые данные в файлы без изменения их размера или внешнего вида. В данном случае один поток скачивал документ-приманку с сайта Всемирного банка, а второй содержал PowerShell-скрипт для запуска планировщика задач.

Основные вредоносные программы — WmRAT и MiyaRAT — наделены стандартными возможностями троянов удалённого доступа: сбор информации о системе, загрузка и выгрузка файлов, создание снимков экрана, получение геоданных и выполнение произвольных команд через cmd.exe или PowerShell.

Эксперты отмечают, что MiyaRAT используется для особо важных целей, поскольку его применяют в ограниченном числе атак. По оценке Proofpoint, действия Bitter направлены на сбор разведывательных данных в интересах южноазиатских правительств.