Ερευνητές ανακάλυψαν ένα “Blackwater” malware campaign που συνδέεται με το γνωστό MuddyWater APT παρακάμπτοντας τον έλεγχο ασφαλείας και εγκαθιστώντας ένα backdoor στον υπολογιστή του θύματος χρησιμοποιώντας τις τεχνικές και τις διαδικασίες του MuddyWater (TTPs).
Το MuddyWater συναντάται σε πολλές διαφορετικές επιθέσεις στον κυβερνοχώρο που στόχευαν οργανισμούς στο Πακιστάν, την Τουρκία και το Τατζικιστάν χρησιμοποιώντας πολλαπλές μεθόδους social engineering για να εξαπατήσουν τα θύματα να ενεργοποιήσουν τις μακροεντολές και να ενεργοποιήσουν το ωφέλιμο φορτίο.
Το Blackwater campaign πιστεύεται ότι είναι ένα νέο οπλοστάσιο του MuddyWater APT, καθώς οι δραστηριότητες δείχνουν ότι οι hackers εφαρμόζουν πολλές τακτικές μέσα σε αυτό για να αποφύγουν την ανίχνευση του endpoint.
Οι hackers που χρησιμοποιούν το Obfuscated script VBA για να δημιουργήσουν το VBA script ενεργοποίησαν ένα PowerShell stager.
Το Backwater χρησιμοποίησε επίσης ένα FruityC2 agent script, ένα open-source framework στο GitHub, επιτρέποντας στο PowerShell stager να επικοινωνεί με το διακομιστή C2 για να ελέγχει τη μηχανή υποδοχής.
Οι ερευνητές ανακάλυψαν ένα weaponized document το οποίο αποστέλλεται στα θύματα μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου “phishing” με ημερομηνίας δημιουργίας τις 23 Απριλίου.
Μόλις τα θύματα ανοίξουν το κακόβουλο έγγραφο, απαιτούσε από τον χρήστη να ενεργοποιήσει τη μακροεντολή με τίτλο “BlackWater.bas”
Οι hackers χρησιμοποίησαν επίσης μια anti-reverse τεχνική προστατεύοντας τη μακροεντολή με έναν κωδικό πρόσβασης, εάν ένας χρήστης προσπάθησε να δει τη μακροεντολή στη Visual Basic.
Σύμφωνα με την Talos Research, “Η μακροεντολή περιέχει ένα PowerShell script για το κλειδί μητρώου” “Run”
“KCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ SystemTextEncoding”
Το script, στη συνέχεια, ονομάζει το αρχείο “\ ProgramData \ SysTextEnc.ini” κάθε 300 δευτερόλεπτα. Η clear text έκδοση του SysTextEnc.ini φαίνεται να είναι ένα ελαφρύ stager.
Αυτός ο PowerShell agent χρησιμοποιήθηκε στο παρελθόν από τους δημιουργούς του MuddyWater όταν στόχευαν κουρδικές πολιτικές ομάδες και οργανώσεις στην Τουρκία.
Στο Blackwater campaign, οι hackers έχουν κάνει κάποιες μικρές αλλαγές, όπως η αλλαγή των ονομάτων των μεταβλητών για να αποφευχθεί η ανίχνευση του Yara και η αποστολή των αποτελεσμάτων των εντολών στο C2 στη διεύθυνση URL, αντί για τη καταγραφή σε αρχείο.
Τέλος, το PowerShell script θα σκανάρει το μηχάνημα του θύματος για την αναζήτηση των παρακάτω πληροφοριών.
- Το όνομα του λειτουργικού συστήματος (δηλ. Το όνομα του μηχανήματος)
- Αρχιτεκτονική λειτουργικού συστήματος
- Ο υπότιτλος του λειτουργικού συστήματος
- Το domain του συστήματος υπολογιστών
- Το όνομα χρήστη του συστήματος υπολογιστή
- Δημόσια διεύθυνση IP του υπολογιστή
Αφού απαριθμήσει όλες τις πληροφορίες, προτείνει το URL post request σε ένα C2 με base64-encoded, ενώ σε προηγούμενες εκδόσεις αυτές οι πληροφορίες ήταν καταγεγραμμένες σε ένα αρχείο κειμένου.
