Bitter APT explora vulnerabilidade do WinRAR em ataques de malware

São Paulo — InkDesign News — Um grupo de ciberespionagem, conhecido como Bitter (APT-Q-37), está utilizando métodos inusitados para instalar um programa de backdoor em computadores de alvos de alto valor. Essa atividade foi recentemente exposta pelo Qi’anxin Threat Intelligence Centre.

Incidente e vulnerabilidade

A operação do grupo Bitter envolve a entrega de um backdoor, programado em C#, que permite o download e execução de outros softwares maliciosos em máquinas alvos. Utilizando pelo menos duas técnicas distintas, o grupo faz uso de um arquivo falso de conferência e um arquivo comprimido. A técnica do arquivo de conferência se utiliza de um arquivo do Microsoft Office com o nome “Nominated Officials for the Conference.xlam”. Ao habilitar as macros, uma mensagem de erro falsa é exibida para enganar o usuário. Na realidade, as macros são programadas para construir o backdoor C# a partir de ferramentas do computador local. Adicionalmente, uma tarefa agendada é criada para manter a conexão ativa com um servidor controlado pelo grupo.

Impacto e resposta

A segunda abordagem, mais sorrateira, utiliza um arquivo comprimido (RAR) que explora uma vulnerabilidade não corrigida no software WinRAR. O arquivo malicioso, denominado “Provision of Information for Sectoral for AJK.rar”, contém um arquivo do Word aparentemente inofensivo junto a um arquivo modelo oculto chamado Normal.dotm. Quando extraído, o arquivo malicioso se substitui ao modelo original do sistema, permitindo que, ao abrir um documento do Word, o modelo adulterado se conecte a um servidor remoto para executar o backdoor (winnsc.exe). Ambos os métodos visam roubar informações sensíveis e coletar dados da máquina vítima.

“As duas técnicas utilizadas para implantar o backdoor confirmam a identidade do grupo Bitter, uma vez que a infraestrutura envolvida, incluindo domínios registrados recentemente, aponta para a mesma origem.”
(“The above two attacks ultimately use the same C# backdoor, and the C&C server of the backdoor communication points to the sub-domain of esanojinjasvc.com, which was registered in April this year.”)

— Qi’anxin Threat Intelligence Centre

Mitigações recomendadas

Para mitigar os riscos apresentados por essas técnicas, recomenda-se aos usuários cautela ao abrir anexos de e-mails desconhecidos. Manter o software WinRAR atualizado e desabilitar macros em documentos do Office são boas práticas a serem seguidas. Além disso, monitorar o tráfego de rede em busca de atividades suspeitas e usar ferramentas especializadas, como sandboxes, para inspecionar arquivos não confiáveis, são estratégias eficazes de defesa.

“Recomendamos que os usuários fiquem atentos a documentos não solicitados e adotem precauções com softwares para evitar exploração de vulnerabilidades.”
(“To stay safe, the Centre urges users to be very careful with unknown email attachments.”)

— Qi’anxin Threat Intelligence Centre

Embora as mencionadas estratégias de mitigação sejam eficazes, os riscos residuais indicam a necessidade de eventual atualização no monitoramento de ameaças e um reforço nas medidas de segurança cibernética a partir desse alerta.

Fonte: (Hack Read – Segurança Cibernética)