Perisikan siber Link penyelidik serangan kempen MuddyWater

Computer Security News

Penyelidik keselamatan pada Trend Micro link hari serangan perisikan siber terhadap organisasi di Pakistan, Turki dan Tajikistan kempen MuddyWater yang lebih tua.

Kempen-kempen MuddyWater yang berjaya untuk membuat satu kekeliruan sebelum ini, menjadikan ia sukar untuk dikaitkan dengan seorang pelakon ancaman tertentu. Walau bagaimanapun, pakar-pakar tersebut membuktikan bahawa artifak-artifak yang berkaitan dengan MuddyWater telah digunakan dalam serangan terhadap Kerajaan Arab Saudi, dalam serangan yang dikaitkan dengan serangan satu rangka kerja, dan dalam kejadian yang berpunca daripada Kumpulan hacking FIN7.

Memandangkan organisasi sasaran dan tumpuan kepada pengumpulan maklumat dan meng-upload itu kepada arahan dan kawalan (C & C) pelayan, Trend Micro tuntutan bahawa pelakon ancaman di sebalik serangan tertumpu pada aktiviti-aktiviti perisikan kebanyakannya.

Serangan terbaru melibatkan pelbagai pautan kepada kempen-kempen MuddyWater sebelum ini diperhatikan dan menunjukkan bahawa “penyerang itu tidak semata-mata berminat dalam kempen” One-off “, tetapi mungkin akan berterusan untuk melaksanakan cyberespionage aktiviti terhadap yang sasaran negara dan industri,” keadaan pakar.

Persamaan untuk kempen-kempen terdahulu MuddyWater termasuk tumpuan kepada timur tengah sasaran, penggunaan dokumen-dokumen yang cuba untuk meniru organisasi Kerajaan, menjatuhkan fail Visual Basic dan fail Powershell (VBS dalam melaksanakan PS), serta penggunaan Laman web digodam pelbagai sebagai proksi. Selain itu, serangan menunjukkan proses-proses kekeliruan yang serupa dan pembolehubah dalaman selepas deobfuscation.

Dokumen-dokumen yang berniat jahat yang mensasarkan individu-individu yang bekerja untuk organisasi Kerajaan dan Syarikat-syarikat telekomunikasi di Tajikistan menggunakan Kejuruteraan untuk memperdayakan mangsa membolehkan makro. Sebahagian daripada payloads yang telah tertanam di dalam dokumen itu sendiri, manakala lain-lain telah dimuat turun dari Internet.

Apabila makro yang dibolehkan, skrip Visual Basic dan PowerShell skrip, kedua-duanya yang obfuscated, akan jatuh dalam direktori ProgramData. Kemudian, tugas berjadual diwujudkan dengan laluan ke skrip VBS untuk memastikan pengekalan.

Sebagai sebahagian daripada serangan lain, fail kedua jatuh adalah fail teks dikod base64 yang menyebabkan fail Powershell selepas penyahkodan. Kempen lain akan menggugurkan tiga fail: satu .sct scriptlet fail, satu fail .inf dan fail data pengekod base64. Yang pertama dan kedua menggunakan kod yang disediakan secara umum untuk memintas applocker.

Skrip PowerShell terbahagi kepada tiga bahagian: satu mengandungi pembolehubah global (laluan, penyulitan kekunci, senarai laman web digodam yang digunakan sebagai proksi dan pintu pagar), kedua mengandungi fungsi-fungsi yang berkaitan dengan standard RSA penyulitan dan ketiga mengandungi backdoor yang fungsi.

Mesin tersebut mengumpul maklumat, mengambil screenshot dan menghantar semua data ke C & C. Ia juga termasuk sokongan untuk arahan seperti membersihkan (cubaan untuk menghapuskan semua item dari pemacu C, D, E dan F), but semula, penutupan, gambar, dan upload. Komunikasi dengan C & C dilakukan melalui mesej XML.

Sekiranya permintaan tidak wajar yang dihantar ke C & C pelayan, ia balasan dengan mesej berikut: ‘ berhenti!!! Aku bunuh anda penyelidik.’ Tahap ini mesej peribadi menunjukkan bahawa hacker akan memantau data apa yang sedang berlaku dari C & C mereka dan pelayan.

Trend Micro juga menjelaskan bahawa jika gagal komunikasi dengan C & C dan skrip PowerShell dijalankan dari baris perintah, mesej ralat yang ditulis dalam Cina Mandarin ringkas dipaparkan. Mesej ini adalah lebih cenderung Mesin-diterjemah daripada apa yang ditulis oleh penutur asli.


Leave a Reply

Your email address will not be published. Required fields are marked *