Peneliti Link Spionase Cyber serangan kampanye MuddyWater

Computer Security News

Peneliti keamanan di Trend Micro link hari serangan Spionase cyber terhadap organisasi di Pakistan, Turki, dan Tajikistan ke remaja kampanye MuddyWater.

Kampanye MuddyWater berhasil membuat kebingungan besar sebelumnya, sehingga sulit untuk dihubungkan dengan aktor spesifik ancaman. Namun, para ahli membuktikan bahwa artefak yang terkait dengan MuddyWater yang digunakan dalam serangan terhadap pemerintah Arab Saudi, dalam serangan yang terkait dengan kerangka kerja satu serangan, dan dalam insiden yang dikaitkan ke grup hacking FIN7.

Mempertimbangkan organisasi yang ditargetkan dan fokus pada pengumpulan informasi dan meng-upload ke komando dan kontrol (C & C) server, tren mikro klaim bahwa ancaman pelaku di balik serangan yang berfokus pada kegiatan Spionase sebagian besar.

Serangan terbaru melibatkan sejumlah link ke kampanye MuddyWater sebelumnya diamati dan menunjukkan bahwa “para penyerang tidak hanya tertarik dengan kampanye off, tapi kemungkinan akan terus melakukan cyberespionage kegiatan terhadap ditargetkan negara dan industri,” keadaan ahli.

Kemiripan dengan kampanye MuddyWater sebelumnya termasuk fokus pada target Timur Tengah, penggunaan dokumen-dokumen yang berusaha untuk meniru organisasi pemerintah, dropping Visual Basic file dan file Powershell (VBS mengeksekusi PS), serta penggunaan banyak website hacked sebagai proxy. Selain itu, serangan menunjukkan serupa proses kebingungan dan variabel internal setelah deobfuscation.

Dokumen yang berbahaya yang menargetkan orang-orang yang bekerja untuk organisasi pemerintah dan perusahaan telekomunikasi di Tajikistan menggunakan teknik untuk mengelabui korban agar memungkinkan macro. Beberapa muatan yang tertanam di dalam dokumen itu sendiri, sementara orang lain adalah download dari Internet.

Setelah Macro diaktifkan, Visual Basic script dan script PowerShell, keduanya baru, dijatuhkan di direktori ProgramData. Kemudian, tugas terjadwal dibuat dengan path untuk VBS script untuk memastikan ketekunan.

Sebagai bagian dari serangan lainnya, file kedua turun adalah file teks yang disandikan base64 mengakibatkan Powershell file setelah decoding. Kampanye akan turun tiga file: .sct scriptlet file, file dimaksud, dan file data yang dikodekan base64. Dua yang pertama menggunakan kode yang tersedia untuk umum untuk mem-bypass applocker.

PowerShell script terbagi menjadi tiga bagian: satu berisi variabel global (jalan, kunci enkripsi, daftar gates dan website hacked digunakan sebagai proxy), kedua berisi fungsi yang terkait dengan standar enkripsi RSA, dan ketiga berisi backdoor fungsi.

Backdoor mengumpulkan informasi mesin, mengambil screenshot, dan mengirim semua data ke C & C. Ini juga mencakup dukungan untuk perintah seperti bersih (upaya untuk menghapus semua item dari drive C, D, E dan F), reboot, shutdown, screenshot dan meng-upload. Komunikasi dengan C & C dilakukan melalui pesan XML.

Dalam hal permohonan tidak tepat dikirim ke C & C server, itu menjawab dengan pesan berikut: ‘ berhenti! Aku membunuh Anda peneliti.’ Tingkat personalisasi pesan menunjukkan bahwa hacker sedang memantau data apa yang akan ke dan dari mereka C & C server.

Trend Micro juga menjelaskan bahwa jika komunikasi dengan C & C gagal dan PowerShell script dijalankan dari baris perintah, pesan kesalahan yang ditulis dalam bahasa Mandarin Cina disederhanakan ditampilkan. Pesan ini akan lebih mesin diterjemahkan daripada ditulis oleh pembicara asli.


Leave a Reply

Your email address will not be published. Required fields are marked *