Các nhà nghiên cứu liên kết gián điệp Cyber tấn công vào chiến dịch MuddyWater

Computer Security News

Các nhà nghiên cứu an ninh tại Trend Micro liên kết tại các cuộc tấn công gián điệp cyber chống lại tổ chức ở Pakistan, Thổ Nhĩ Kỳ, và Tajikistan cho các chiến dịch lớn MuddyWater.

MuddyWater chiến dịch quản lý để làm cho một sự nhầm lẫn lớn trước, làm cho nó khó khăn để được liên kết với một diễn viên cụ thể các mối đe dọa. Tuy nhiên, các chuyên gia chứng minh rằng các hiện vật liên quan đến MuddyWater được sử dụng trong cuộc tấn công chống lại chính quyền ả Rập Saudi, tấn công được liên kết đến một khuôn khổ duy nhất tấn công và sự cố do hacker nhóm FIN7.

Xem xét các tổ chức được nhắm mục tiêu và tập trung vào việc thu thập thông tin và tải lên nó để chỉ huy và kiểm soát (C & C) máy chủ, Trend Micro tuyên bố các mối đe dọa diễn viên phía sau các vụ tấn công là tập trung vào các hoạt động gián điệp chủ yếu.

Các cuộc tấn công đặt liên quan đến rất nhiều liên kết đến các chiến dịch trước đây đã quan sát MuddyWater và hiển thị mà “những kẻ tấn công không chỉ quan tâm đến một chiến dịch duy nhất, nhưng có khả năng sẽ tiếp tục thực hiện cyberespionage hành động chống lại các nhắm mục tiêu theo quốc gia và ngành công nghiệp,” nhà nước của các chuyên gia.

Điểm tương đồng với chiến dịch MuddyWater trước đó bao gồm các tập trung vào các mục tiêu trung đông, việc sử dụng các tài liệu đang cố gắng bắt chước các tổ chức chính phủ, thả một tập tin Visual Basic và một tập tin Powershell (VBS thực hiện PS), cũng như việc sử dụng các rất nhiều các trang web bị tấn công như proxy. Bên cạnh đó, các cuộc tấn công Hiển thị tương tự như obfuscation quy trình và nội bộ biến sau deobfuscation.

Các tài liệu độc hại mà nhắm mục tiêu cá nhân làm việc cho các tổ chức chính phủ và các công ty viễn thông ở Tajikistan sử dụng kỹ thuật để lừa nạn nhân vào cho phép macro. Một số trong những dữ liệu này đã được nhúng vào bên trong các tài liệu riêng của mình, trong khi những người khác đã được tải về từ Internet.

Một khi các macro được kích hoạt, các Visual Basic script và script PowerShell, cả hai obfuscated, bị rơi trong thư mục ProgramData. Sau đó, một nhiệm vụ dự kiến được tạo ra với đường dẫn đến các kịch bản VBS để đảm bảo sự kiên trì.

Như một phần của các cuộc tấn công, tập tin thứ hai giảm xuống là base64 mã hóa văn bản tập tin kết quả là tập tin Powershell sau khi giải mã. Một chiến dịch khác sẽ thả ba tập tin: một .sct scriptlet file, một file Inf. và một base64 mã hóa dữ liệu tập tin. Hai lần đầu tiên sử dụng mã công khai sẵn có để bỏ qua applocker.

Các kịch bản PowerShell được chia thành ba phần: một chứa các biến toàn cầu (đường dẫn, khoá mật mã, một danh sách các cổng và các trang web bị tấn công được sử dụng như proxy), thứ hai chứa các chức năng liên quan đến tiêu chuẩn mật mã RSA và thứ ba chứa một backdoor chức năng.

Thông tin máy backdoor thu thập, sẽ đưa ảnh chụp màn hình, và gửi tất cả dữ liệu cho C & c Nó cũng bao gồm hỗ trợ cho lệnh chẳng hạn như làm sạch (cố gắng để xóa tất cả các mục từ ổ đĩa C, D, E và F), khởi động lại, tắt máy, ảnh chụp màn hình và tải lên. Liên lạc với C & C được thực hiện thông qua tin nhắn XML.

Trong trường hợp một yêu cầu không đúng cách sẽ được gửi đến C & C máy chủ, nó trả lời bằng một thông điệp: ‘ dừng lại! Tao giết mày nhà nghiên cứu.’ Mức này của tin nhắn cá nhân cho thấy rằng các hacker đang theo dõi dữ liệu gì đang xảy ra từ C & C của họ và máy chủ.

Trend Micro cũng giải thích rằng nếu các giao tiếp với C & C không thành công và kịch bản PowerShell chạy từ dòng lệnh, thông báo lỗi được viết bằng tiếng Trung Quốc giản thể hiển thị. Những thông báo này có nhiều khả năng máy dịch tự động hơn viết bởi người bản ngữ.


Leave a Reply

Your email address will not be published. Required fields are marked *