Дослідники посилання кібер-шпигунства атакує MuddyWater кампанію

Computer Security News

Безпеки дослідники Trend Micro посилання останні шпигунства кібернапади проти організаціями в Пакистані, Туреччина і Таджикистан старшого MuddyWater кампаній.

MuddyWater кампанії вдалося зробити велике замішання раніше, робить його важко бути пов’язані з конкретної загрози актор. Тим не менш, експерти довів, що артефакти, пов’язані з MuddyWater були використані нападів урядом Саудівської Аравії, нападу, пов’язаний з одного напад рамки та інцидентів, віднесені до злому групи FIN7.

Враховуючи цільові організацій і зосередити увагу на збір інформації та завантажити їх командування і управління (C & C) сервери, Trend Micro претензій що загроза актори позаду нападів зосереджено на шпигунської діяльності в основному.

Востаннє атак залучати численні посилання на раніше спостерігається MuddyWater кампаній і показати, що “нападники не просто цікавиться всеосяжних кампанії, але, імовірно, продовжиться виконувати cyberespionage заходів проти на цільових країн та галузей,” державних експертів.

Схожість з попередніх кампаній MuddyWater включають зосереджені на Близькому Сході цілі, використання документів, намагаючись імітувати урядових організацій, скидали Visual Basic файл і Powershell файл (на VBS виконує PS), а також використання численні зламані сайти як проксі-сервери. Крім того, нападів показують аналогічні процеси заплутування і внутрішні змінні після deobfuscation.

За допомогою інженерії зловмисних документи, що цільова люди, що працюють за державним організаціям і телекомунікаційні компанії в Таджикистані вивідати жертв увімкненням макросів. Деякі з корисних навантажень були вбудовані всередині самому документі, у той час як інші були завантажені з Інтернету.

Після вмикання макроси Visual Basic сценарій і сценарію PowerShell, обидва затемнений, опускаються в каталозі ProgramData. Потім заплановане завдання створюється шлях до VBS сценарій для забезпечення стійкості.

У рамках інших атак другий файл впали є base64 кодований текстовий файл, в результаті чого Powershell файлу після розшифрування подвійної спіралі. Ще одна кампанія б кинути трьома файлами: .sct scriptlet файл, до файлу. inf і base64 закодовані дані файлу. Перші два за допомогою загальнодоступних код обійти applocker.

Сценарій PowerShell ділиться на три частини: одна містить глобальні змінні (контури, ключі шифрування, список Гейтс і зламані сайти, які використовувалися як проксі), другий містить функції пов’язані з Стандарт шифрування RSA та третій містить backdoor функція.

Backdoor збирає інформацію машина, займає скріншоти і передає всі дані на C & c. Вона також включає в себе підтримку для команд, таких як очищення (спроби видалити всі елементи з дисків, C, D, E і F), перезавантаження, відключення, скріншот і завантаження. Спілкування з C & C здійснюється через XML повідомлення.

У разі неналежного запит надсилається до C & C сервера, це відповіді: із таким повідомленням: ‘ зупинити! Я тебе вбити дослідник.’ Цей рівень персоналізовані повідомлення свідчить, що хакери моніторинг даних, які буде і з їх C & C сервера.

Trend Micro також пояснює, що якщо не вдається спілкування з C & C і сценарію PowerShell запустити з командного рядка, відображаються повідомлення про помилки, що написана на спрощеному Мандаринської мови. Ці повідомлення є більш ймовірно, Машинний переклад не написані носієм мови.


Leave a Reply

Your email address will not be published. Required fields are marked *