Szpiegowska Cyber Link naukowców ataki do kampanii MuddyWater

Computer Security News

Zabezpieczenie badanie przy Trend Micro powiązać ostatnich ataków cybernetycznych szpiegostwa przeciwko organizacjom w Pakistan, Turcja i Tadżykistan starsze kampanii MuddyWater.

MuddyWater kampanii udało się zrobić wielkie zamieszanie przed, co trudno być związana z aktorem szczególne zagrożenie. Jednak eksperci okazało się, że artefaktów związanych z MuddyWater były używane w ataki przeciwko rządowi Arabii Saudyjskiej, ataki związane z ramy jednego ataku i przypisane do grupy hakerskie FIN7 incydentów.

Biorąc pod uwagę organizacje ukierunkowane i skupić się na gromadzenie informacji i przesłać go do polecenia i serwerów kontroli (C & C), Trend Mikro roszczeń głównie koncentruje się na działalności szpiegostwa aktorów zagrożenie za ataki.

Najbardziej Niedawne ataki obejmują liczne linki do wcześniej obserwowane kampanii MuddyWater i pokazać, że “napastnicy nie są jedynie zainteresowane jednorazowych kampanii, ale prawdopodobnie nadal będzie wykonywać cyberespionage działań przeciwko ukierunkowane krajów i przemysłu,” stan ekspertów.

Podobieństwa do poprzedniej kampanii MuddyWater obejmują skoncentrowanie się na Bliskim Wschodzie cele, korzystanie z dokumentów, próbuje naśladować organizacji rządowych, zrezygnowanie z pliku języka Visual Basic i pliku programu Powershell (VBS wykonuje PS), a także korzystanie z liczne zaatakowanych stron internetowych jako serwery proxy. Poza tym ataki Pokaż podobne procesy zaciemniania i zmiennych wewnętrznych po deobfuscation.

Złośliwy dokumentów, które koncentruje się na osobnikach pracę dla organizacji rządowych i firm telekomunikacyjnych w Tadżykistanie użyć inżynierii nakłonieniu ofiary do włączania makr. Niektóre ładunki zostały osadzone w dokumencie, sam, podczas gdy inne zostały pobrane z Internetu.

Po włączeniu makr skrypt języka Visual Basic i skrypt programu PowerShell, zarówno ukrywane, są usuwane w katalogu ProgramData. Następnie zaplanowanego zadania jest tworzony z ścieżka do skryptu VBS do zapewnienia trwałości.

W ramach innych ataków spadł drugi plik jest plik tekstowy zakodowany base64, wynikające w pliku programu Powershell po dekodowania. Kolejna kampania będzie spadać trzy pliki: plik .sct scriptlet, plik .inf i base64 zakodowane dane pliku. Dwa pierwsze dostępne publicznie kod umożliwia ominięcie zasad ograniczeń oprogramowania.

Skrypt programu PowerShell jest podzielony na trzy części: jedna zawiera zmienne globalne (ścieżki, klucze szyfrowania, listę bram i zaatakowanych stron internetowych, używane jako serwery proxy), drugi zawiera funkcje związane z standard szyfrowania RSA i trzeci zawiera backdoor funkcji.

Bierze zrzuty ekranu i informacji o maszynie backdoor zbiera, wysyła wszystkie dane do C & C. To również wsparcie dla poleceń takich jak czyścić (próbuje usunąć wszystkie elementy z dysków C, D, E i F), ponownie obuwać, shutdown, zrzut ekranu i upload. Komunikacja z C & C odbywa się za pośrednictwem wiadomości XML.

W przypadku, gdy niewłaściwe żądanie jest wysyłane do C & C serwera, to odpowiada następujący komunikat o błędzie: ‘ Stop!!! Ja cię zabić badacz.’ Ten poziom spersonalizowane wiadomości pokazuje, że hakerzy są monitorowania, jakie dane będzie z ich C & C i serwera.

Trend Micro również wyjaśnia, że jeśli nie powiedzie się, komunikacja z C & C i skrypt programu PowerShell jest uruchamiany z wiersza polecenia, są wyświetlane komunikaty o błędach w uproszczony chiński mandaryński. Te wiadomości są bardziej prawdopodobne, przetłumaczone maszynowo, niż napisane przez native speakera.


Leave a Reply

Your email address will not be published. Required fields are marked *