Forskare länk Cyber spionage attacker till MuddyWater kampanj

Computer Security News

Säkerhetsforskare vid Trend Micro länk senaste spionage cyberattacker mot organisationer i Pakistan, Turkiet och Tadzjikistan till äldre MuddyWater kampanjer.

MuddyWater kampanjer lyckats göra en stor förvirring innan, vilket gör det svårt att vara kopplat till ett specifikt hot skådespelare. Experterna visade sig dock att de artefakter som är associerad med MuddyWater användes i attacker mot den saudiska regeringen, i övergrepp kopplade till en enda attack ram och i incidenter som tillskrivs gruppen hacking FIN7.

Med tanke på de rikta organisationerna och fokus på insamling av uppgifter och ladda upp den till kommando och kontroll (C & C) servrar, Trend Micro påståenden att hot skådespelarna bakom attackerna är fokuserade på spionageaktiviteter mestadels.

De senaste attackerna involvera många länkar till tidigare observerade MuddyWater kampanjer och visar att ”angriparna är inte bara intresserade av en enstaka kampanj, men kommer sannolikt att fortsätta att utföra cyberespionage verksamhet mot den riktade länder och branscher ”, experter staten.

Likheterna med de tidigare MuddyWater kampanjerna inkludera fokus på Mellanöstern mål, användning av handlingar som försöker efterlikna myndighetsorganisationer, avskaffandet av en Visual Basic-fil och en fil från Powershell (VBS exekverar PS), samt användning av talrika hackade webbplatser som proxyservrar. Dessutom kommer attackerna Visa liknande ljusskygg processer och interna variabler efter deobfuscation.

De skadliga handlingar som nå individer arbetar för statliga organisationer och telekommunikationsföretag i Tadzjikistan använder engineering för att lura offren att aktivera makron. Några av nyttolasterna var inbäddade inuti själva dokumentet, medan andra var hämtat från Internet.

När makron är aktiverade, släpps den Visual Basic-skript och PowerShell-skript, båda förvrängd, i katalogen ProgramData. Sedan skapas en schemalagd aktivitet med sökvägen till den VBS-skriften för att säkerställa persistens.

Som del av andra attacker är den andra filen som tappade en base64-kodad textfil vilket resulterar i Powershell filen efter avkodning. En annan kampanj skulle släppa tre filer: en .sct scriptlet-fil och en INF-fil en base64-kodade datafil. Två första använder offentligt tillgänglig kod för att kringgå applocker.

PowerShell-skriptet är uppdelad i tre delar: en innehåller globala variabler (stigar, krypteringsnycklar, en lista över portar och hackade webbplatser används som proxyservrar), andra innehåller funktioner relaterade till standard RSA-kryptering och tredje innehåller en bakdörr funktion.

Information om bakdörr samlar maskin, tar skärmdumpar och skickar alla data till C & C. Den innehåller också stöd för kommandon som rengör (försök att ta bort alla objekt från hårddiskar C, D, E och F), omstart, avslutning, skärmdump och ladda upp. Kommunikation med C & C utförs via XML-meddelanden.

Om en felaktig begäran skickas till C & C server, svarar den med följande meddelande: ‘ sluta!!! Jag döda dig forskare.’ Denna nivå av personlig messaging visar att hackare övervakar vilka data går till och från deras C & C server.

Trend Micro också förklarar att om kommunikationen med C & C misslyckas och PowerShell-skriptet körs från kommandoraden, felmeddelanden som skrivs i förenklad kinesiska visas. Dessa meddelanden är troligare maskinöversatt än skriven av en infödd talare.


Leave a Reply

Your email address will not be published. Required fields are marked *