MuddyWater APT BlackWater Malware Campaign установили бэкдор на ПК жертв, чтобы получить удаленный доступ и избежать обнаружения | DedicateT.com

Регистрация
18.12.2017
Сообщения
400
Симпатии
170
Баллы
106
#1
Blackwater.png

Исследователи обнаружили вредоносную кампанию "Blackwater", которая, как подозревают, связана с известным MuddyWater APT, обходит контроль безопасности и устанавливает бэкдор на ПК жертв, используя тактику, методы и процедуры MuddyWater (TTPs).

MuddyWater участвует в различных кибератаках в недавнем прошлом и его пятнистых целевых организаций в Пакистане, Турции и Таджикистане, используя несколько методов социальной инженерии, чтобы обмануть жертв в обеспечении макросов и активировать полезную нагрузку.

Кампания Blackwater, как полагают, является новым Арсеналом MuddyWater APT, поскольку эта деятельность указывает на то, что участники угрозы применили в ней много тактик для повышения своей операционной безопасности и предотвращения обнаружения конечных точек.

Субъекты угроз, использующие запутанный сценарий VBA для создания механизма сохранения, и сценарий VBA запускают стагер PowerShell, а также его тип метода для маскировки в качестве инструмента красного объединения.

Backwater также использовал
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
агента FruityC2, платформу с открытым исходным кодом на GitHub, позволяя PowerShell stager взаимодействовать с сервером C2 для дальнейшего перечисления хост-машины.


Это - один из методов, используемых участниками угрозы, чтобы сделать основанное на хозяине обнаружение более трудным и избежать основанного на подписи обнаружения от правил Yara.

Способ Заражения Backwater
Исследователи обнаружили вооруженный документ, который отправляется жертвам через фишинговые электронные письма с отметкой времени, указывающей, что документ создан 23 апреля.

1558792051177.png

После того, как жертвы открыть вредоносный документ, он требует от пользователя, чтобы включить макрос под названием “BlackWater.bas”

Участники угроз также использовали метод антиоборота, защищая макрос паролем для недоступного, если пользователь попытался просмотреть макрос в Visual Basic.

1558792126029.png

Согласно исследованиям, “макрос содержит сценарий PowerShell для сохранения в разделе реестра "Run “”KCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemTextEncoding".
Затем скрипт вызвал файл " \ProgramData\SysTextEnc.ini " каждые 300 секунд. Текстовая версия SysTextEnc.ini, кажется, легкий стагер.”


Этот агент PowerShell ранее использовался актерами MuddyWater, когда они нацелились на курдские политические группыи организации в Турции.

В Blackwater campaign участники угроз внесли некоторые небольшие изменения, такие как изменение имен переменных, чтобы избежать обнаружения Yara и отправки результатов команд на C2 в URL вместо записи их в файл.

Наконец, сценарий PowerShell перечислит машину целевых жертв для запроса следующей информации.

  • Имя операционной системы (т. е. имя машины)
  • Архитектура операционной системы
  • Заголовок операционной системы
  • Домен компьютерной системы
  • Имя пользователя компьютерной системы
  • Публичный IP-адрес компьютера
Как только он перечисляет всю информацию, он предлагает запрос url post на C2 с кодировкой base64, тогда как в предыдущих версиях эта информация была записана в текстовый файл.

Код:
hxxp: / / 82[.]102[.]8[.] 101 / bcerrxy.php?riHl=RkYtRkYtRkYtRkYtRkYtRkYtRkYtRkYtrkytrkytrkytrkytrkytrkytrkytrkyqmtk5nypfudeq0d0utwljcm9zb2z0ifdpbmrvd3mgnybqcm9mzxnzaw9uywwqmzityml0klvtrvituemqv09ss0dst1vq0d0uklvtrvituencywrtaw4qmtkylje2oc4wmdaumde=
Позже он расшифровывает перечисленные данные и получает украденные данные от жертв

Код:
hxxp: / / 82[.]102[.]8[.] 101 / bcerrxy.php?riHi=ff-ff-ff-ff-ff-ff-ff-ff-ff-ff-ff-ff-ff-ff-ff*1997*EP1 * Ð=.Microsoft Windows 7 Professional*32-разрядная*USER-PC * WORKGROUPÐ=.* Пользователь-PC\admin*192.168.000.01
Показатели компромисса

Код:
Хэши
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URLs

hxxp: / / 38[.]132[.]99[.]167 / crf.txt
hxxp: / / 82[.]102[.]8[.] 101: 80 / bcerrxy.php?rcecms=BlackWater
hxxp://82[.]102[.]8[.] 101 / bcerrxy.php?
hxxp: / / 94[.]23[.]148[.]194 / serverScript/clientFrontLine / helloServer.php
hxxp: / / 94[.]23[.]148[.]194 / serverScript/clientFrontLine / getCommand.php
hxxp: / / 94[.]23[.]148[.]194 / serverScript/ clientFrontLine/
hxxp:/ / 136[.]243[.]87[.] 112: 3000/KLs6yUG5Df
hxxp://136[.]243[.]87[.] 112: 3000/ll5JH6f4Bh
hxxp://136[.]243[.]87[.]112: 3000 / Y3zP6ns7kG
 
Последнее редактирование модератором:

Пользователи, которые просматривали тему (Всего: 4)