其投递恶意 chm 文件，诱导目标执行该文件创建恶意计划任务下载第二阶段载荷，命令行使用字符 ‘^’ 进行混淆，创建计划任务下载执行第二阶段载荷，自 2021 年以来，该攻击手法没有发生较大变化。在最新的攻击行动中，我们观察到其使用了新的组件进行攻击。

另外我们还观察到该组织疑似攻陷了巴基斯坦相关的内衣网站作为其载荷托管点，“http://mirzadihatti[.]com/css/try.php”与“http://guppu[.]pk/log/try.php”，该类网站都为wordpress站点，我们怀疑 BITTER 组织会长期攻陷目标境内wordpress站点以作为载荷托管中心。

在部分计划任务下载的第二阶段载荷中，其下载 “CERT.msi”文件释放了远控组件 scroll_.exe，其详细信息如下表。经过分析，确认该文件为 BITTER 组织一直在使用的内部命名为 BDarkRAT 远控的组件，在这次事件中对其进行了混淆，该组件由DarkAgent开源项目修改而成，其参考的开源项目地址为https://github.com/ilikenwf/DarkAgent。

该组件与以往的版本相比，其对源码进行了混淆，下列对比图可看到其网络数据 xor 加密 key 并没有改变，还是745930==0xb61ca，其会使用末尾字节 0xca 对通信流量进行加密。

根据其之前使用版本，其首先会使用 wmi 接口获取目标机器基本信息（系统名称、架构 、MAC 地址等），最后附加版本信息使用 xor 加密并发送。

根据获取的沙箱流量数据包，对该数据包解密发现其版本为 “1.0”，与其他的 “7.0/m1.0” 版本存在一定的差异。

除了上述已知的远控外，我们还发现该组织将开源项目“Lilith”-https://github.com/werkamsus/Lilith与以往的下载器结合，为了便于区分将其命名为BLilithRAT，其相关信息如下表，与友商披露的 “wmRAT” 似乎存在些微差别。

查看该组件的资源数据，字符串标识说明其版本为 “client 1.1”。

初始执行时该组件执行大量睡眠操作以加强反分析，并且其字符串信息与以往一样还是进行简单移位加密。

其在以往下载器的基础上将 “Lilith” 融合进其功能中。

其主要功能如下表。

深信服高级威胁团队专注全球高级威胁事件的跟踪与分析，拥有一套完善的自动化分析溯源系统以及外部威胁监控系统，能够快速精准的对 APT 组织使用的攻击样本进行自动化分析和关联，同时积累并完善了几十个 APT 以及网络犯罪威胁组织的详细画像，并成功帮助客户应急响应处置过多个 APT 及网络犯罪威胁组织攻击事件，未来随着安全对抗的不断升级，威胁组织会研究和使用更多新型的 TTP，深信服高级威胁团队会持续监控，并对全球发现的新型安全事件进行深入分析与研究。

https://mp.weixin.qq.com/s/IZNl6N2K1LUU7e1hT4JeYw