概述

  瑞星威胁情报平台近期发现一起针对巴基斯坦的定向攻击活动，攻击者冒充巴基斯坦反恐部门，以安全简报为诱饵，向该国国家电信公司员工发送钓鱼邮件。不同于常见的LNK或Office文档附件，此次攻击使用检测率较低的IQY文件（Excel支持的互联网查询文件）。用户打开该文件后，Excel通过内嵌URL从远程服务器下载并执行批处理脚本。该脚本功能简单，负责下载缺少MZ头的可执行程序，在本地修复后运行。修复后执行的程序具备信息上传和下载功能，其中下载的恶意载荷就包括名为wmRAT的远控木马。该木马由南亚APT组织Bitter开发，支持与C2服务器通信，具备数据窃取、文件管理和远程控制等功能。

  Bitter（中文名蔓灵花）是一个源自南亚地区的APT组织，具有浓厚的政治背景，其活动至少可追溯至2013年。该组织长期针对中国和巴基斯坦两国展开网络攻击，主要攻击目标包括政府部门、能源、电力、国防及军工等高价值单位，旨在窃取机密情报。

概述

  瑞星于2023年12月20日接到国内某敏感单位反馈称设备上扫描到间谍软件，经专家分析相关文件为wmRAT后门，该后门由国外一个名为蔓灵花的攻击组织制作，即相关单位遭遇了APT攻击。蔓灵花组织，又称为BITTER，是一支据称有南亚背景的APT组织，疑似来自印度。至少自2013年起就开始对目标发动网络攻击，攻击目标包含中国、巴基斯坦等国家，涉及行业有政府、军事、能源等，其意图是窃取敏感资料