概述
Bitter也叫T-APT-17、蔓灵花。组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该APT组织为目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。
Bitter的主要动机为进行间谍活动,拥有对多个操作系统进行攻击的能力,他们的武器库主要包含BitterRAT、Artra Downloader、SlideRAT和AndroRAT。
此次活动的主要目标为孟加拉快速行动营,快速行动营是孟加拉国警察的精英反犯罪和反恐单位。攻击者使用与受害者组织的常规运营任务有关的主题作为诱饵和发送包含该诱饵的鱼叉式网络钓鱼邮件给孟加拉国警察快速行动营高级官员。
诱饵文件为使用已知漏洞CVE-2017-11882武器化的office文档,一旦受害者打开文档,公式编辑器就会触发嵌入在文档的shellcode,然后从远程服务器下载恶意程序并在受害者机器上执行。
样本详情
文件名 | md5 |
---|---|
Addl SP Hafizur Rahman.doc | bdbbd70229591fb1102365f4bb22196b |
文件名 | Md5 |
---|---|
ntfsc.exe、fwbase.exe | 59b043a913014a1f03258c695b9333af |