By | March 13, 2018

חוקרים האבטחה Trend Micro לקשר ההתקפות האחרונות ריגול סייבר נגד ארגונים פקיסטן, הודו, טג’יקיסטן בוגרים קמפיינים MuddyWater.

ה MuddyWater הקמפיינים הצליח לגרום בלבול גדול בעבר, ולכן קשה להיות מקושר שחקן איום ספציפי. עם זאת, המומחים הוכיח כי הממצאים הקשורים עם MuddyWater שימשו בהתקפות נגד ממשלת סעודיה, תקיפות מקושר מסגרת התקף, וכן מקרים המיוחסים לקבוצה פריצה FIN7.

בהתחשב של ארגוני ממוקד ולהתמקד איסוף של מידע ולהעלות הפקודה, שרתי בקרת (C & C), טרנד מיקרו טוען כי השחקנים האיום שעומד מאחורי ההתקפות. מתמקדים על פעילות ריגול בעיקר.

ההתקפות האחרונות כוללות קישורים רבים לקמפיינים MuddyWater שנצפו בעבר, מראים “התוקפים אינם מעוניינים רק מסע חד פעמי, אבל כנראה תמשיך לבצע cyberespionage פעילות נגד ממוקד מדינות ותעשיות,” המדינה מומחים.

הדמיון לקמפיינים MuddyWater הקודמים כוללים את המוקד על המטרות במזרח התיכון, השימוש של מסמכים מנסה לחקות ארגונים ממשלתיים, הטלתה של Visual Basic קובץ וקובץ Powershell (VBS מפעילה את PS), כמו גם השימוש אתרי אינטרנט רבים פרוצים כאל שליחים. חוץ מזה, ההתקפות להראות דומה האפלה תהליכים ומשתנים פנימי לאחר deobfuscation.

המסמכים זדוני אשר היעד אנשים עובדים עבור ארגונים ממשלתיים וחברות טלקומוניקציה בטג’יקיסטן להשתמש הנדסה להונות קורבנות הפעלת פקודות מאקרו. חלק שתוכן המנות הוטבעו בתוך המסמך עצמו, בעוד אחרים הורדו מהאינטרנט.

ברגע פקודות המאקרו מופעלות, Visual Basic script של הסקריפט PowerShell, שתיהן מעורפלות, מושמטים בספריה ProgramData. לאחר מכן, משימה מתוזמנת נוצר עם הנתיב אל קובץ ה-script VBS כדי להבטיח התמדה.

כחלק התקפות אחרות, הקובץ השני ירד הוא קובץ טקסט מקודד base64 וכתוצאה מכך הקובץ ב- Powershell לאחר פענוח. קמפיין נוסף שאקפוץ שלושה קבצים: קובץ scriptlet .sct קובץ. inf, קובץ נתונים מקודד base64. השניים הראשונים להשתמש בקוד זמין לציבור לעקוף applocker.

הסקריפט PowerShell מחולק לשלושה חלקים: אחד מכילה משתנים גלובליים (נתיבים, מפתחות הצפנה, רשימה של שערי אתרי אינטרנט פרוצים משמש proxies), השני מכיל פונקציות הקשורות תקן הצפנת RSA, השלישי מכיל דלת אחורית פונקציה.

המידע מכונת אוספת אחורית, לוקח צילומי מסך, ושולח כל הנתונים כדי C & C. היא כוללת גם תמיכה עבור פקודות כגון לנקות (ניסיונות כדי למחוק את כל הפריטים מן הכוננים C, D, E ו- F), אתחול מחדש, כיבוי, צילום מסך של העלה. תקשורת עם C & C מתבצע באמצעות הודעות ה-XML.

אם נשלחת בקשה פסולים C & C שרת, זה משיב עם ההודעה הבאה: ‘ להפסיק!!! . אני אהרוג אותך חוקר.’ רמה זו של העברת הודעות אישית מראה כי ההאקרים עוקבים אחרי הנתונים הולך מ שלהם C & C שרת.

Trend Micro גם מסביר את זה אם התקשורת עם C & C נכשל ולא הסקריפט PowerShell מנוהלת משורת הפקודה, יוצגו הודעות שגיאה בכתב פשוטה סינית מנדרינית. הודעות אלה נוטים יותר שתורגם על ידי מכונה יותר נכתב על ידי דובר שפת אם.

Leave a Reply

Your email address will not be published. Required fields are marked *