Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Группировка MuddyWater обновила арсенал новыми техниками антиобнаружения

23/05/19

muddy waterСпециализирующаяся на кибершпионаже группировка MuddyWater, также известная как SeedWorm и TEMP.Zagros, включила в свой набор техник, тактик и процедур новые методы, позволяющие удаленно получить доступ к зараженным системам и остаться при этом незамеченной.

Впервые о группировке стало известно в 2017 году. Тогда MuddyWater в основном атаковала организации на Ближнем Востоке, однако позже включила в сферу интересов правительственные и оборонные компании в Центральной и Юго-Восточной Азии, а также предприятия в Европе и Северной Америке.

Специалисты команды Cisco Talos проанализировали недавнюю кампанию MuddyWater, получившую название BlackWater, и заметили несколько новых тактик, применяемых группировкой для сокрытия своей деятельности. В частности, злоумышленники использовали обфусцированный VBA макрос, позволявший вредоносному ПО сохранить присутствие на скомпрометированных Windows-машинах, добавляя ключ реестра Run. Вредонос доставлялся на компьютеры жертв через фишинговые письма, для просмотра которых требовалось включить вредоносный макрос, блокировавший возможность просмотра его исходного кода.

Между февралем и мартом 2019 года группировка добавила во вредоносные вложения команды PowerShell для сохранения персистентности на системе и сбора данных об инфицированном компьютере, которые затем отправлялись на подконтрольный злоумышленникам сервер. Злоумышленники использовали скрипт PowerShell для загрузки трояна с C&C-сервера, частично построенного на открытом фреймворке FruityC2.

Собранная информация включалась в URL, что позволяло усложнить обнаружение, а также проводить мониторинг web-логов и определять, когда кто-либо, не связанный с кампанией BlackWater, отправлял запрос на сервер в целях изучить подозрительную активность.

Темы:УгрозыCisco Talos
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...