概要

Bitter，又名“蔓灵花”，是一个长期针对中国、巴基斯坦等国家的政府、军工、电力、核等部门发动网络攻击的APT团伙，具有较强的政治背景。微步在线曾于2019年1月公布该团伙针对巴基斯坦的攻击活动，经对木马C&C的持续监控发现，我们发现该团伙近期正利用相关C&C域名对我国发起定向攻击，具体情况如下：

根据捕获到的样本，此次Bitter以北方工业公司和外交部相关内容为主题，对我国军工、政府相关目标进行定向攻击，释放远控类木马，对相关目标主机进行远程控制。
经过相关攻击用木马分析，此次攻击以自解压木马作为附件对相关目标进行鱼叉式钓鱼邮件攻击，木马相关代码继续沿用原有核心框架，具备远程控制、键盘记录等功能，具备窃密及释放进一步payload的能力，危害程度很高。
微步在线已经将相关情报提取并收录，微步在线威胁检测平台（TDP）、威胁情报管理平台（TIP）、DNS防火墙（OneDNS）、威胁情报云API均已支持该组织最新攻击的检测。如需协助，请与我们联系： contactus@threatbook.cn

详情

微步在线威胁情报云近日再次捕获大量“Bitter”团伙专用木马，并发现其中一个木马原始文件名为

“=?UTF-8?B?56eY5a+G5paH5Lu2X19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fX19fLjExMQ==?=”

经过Base64解码为“秘密文件_____________________________________________________________________________________________________________________________________________.111”。分析发现，该文件为自解压程序，内含名为“Assistant Foreign Minister Chen Xiaodong Visits Syria”（外交部长助理陈晓东出访叙利亚）的PDF诱饵文档及恶意样本“audiodq.exe”。从文件名判断相关文件系通过邮件投递，其中诱饵文档内容来自于我国外交部网站3月的新闻。