طبق گزارش پژوهشگران امنیتی ترندمیکرو، گروه جاسوسی سایبری معروف به MuddyWater در پویشهای اخیر خود از یک دربپشتی PowerShell چند مرحلهای بهروزرسانیشده استفاده کرده است. این عامل تهدید که اولین بار در سال ۲۰۱۷ میلادی ظهور پیدا کرده است، طی چند ماه آخر سال ۲۰۱۸ میلادی بسیار فعال بوده و بیش از ۱۳۰ قربانی را در ۳۰ سازمان هدف قرار داده است. در طول چند سال گذشته این عامل تهدید فهرست اهداف خود را توسعه داده و حملات متعددی با آن پیوند خورده است.
پس از تجزیه و تحلیل ابزارهای پس از آلودگی MuddyWater توسط کسپرسکی، درحالحاضر ترندمیکرو بیان میکند که این گروه جاسوسی سایبری دربپشتی PowerStats خود را بهروزرسانی کرده است و نسخهی جدید آن در پویش اسپیرفیشینگی که یک دانشگاه در اردن و ترکیه را هدف قرار میدهد، مشاهده شده است.
ایمیلهایی که حاوی یک سند جاسازیشده و یک ماکروی مخرب برای توزیع فایل VBE هستند، از حسابهای قانونی آسیبدیده برای فریب قربانیان بهمنظور نصب بدافزار استفاده میکنند. فایل VBE یک بلوک داده دارد که حاوی یک اسکریپت مبهمسازیشده PowerShell است.
این دربپشتی که پس از خارج کردن همهی رشتهها از حالت مبهمسازیشده به دست میآید، اطلاعات سیستم عامل را جمعآوری میکند و در یک فایل گزارش ذخیره میکند که در سرور دستور و کنترل بارگذاری میشود. این بدافزار یک عدد تصادفی GUID برای هر سیستم آلوده تولید میکند و از آن برای شناسایی استفاده میکند.
پس از آن، بدافزار یک حلقهی بیپایان را آغاز میکند که فایلی با نام GUID را در یک پوشهی مشخص در سرور دستور و کنترل جستجو میکند. درصورتیکه این فایل پیدا شود، بااستفاده از فرآیند PowerShell.exe دانلود و اجرا خواهد شد. مهاجمان میتوانند از این بدافزار برای ارسال دستورات به سیستمهای قربانی و راهاندازی حملات مرحلهی دوم مانند بارگیری و نصب بار دادهی دیگر استفاده کنند.
پویشهایی که MuddyWater از آغاز سال جاری راهاندازی کرده است نشاندهندهی تغییر روشهای این عامل تهدید ازجمله پذیرش روش توزیع جدید و انواع فایلهای توزیعشده است. این بار داده و ابزارهای پس از بهرهبرداری عمومی بهروزرسانی شدهاند. این عامل تهدید از ابزارهای پس از بهرهبرداری متنباز مختلف ازجمله CrackMapExec، ChromeCookiesView، Chrome-passwords، EmpireProject، FruityC2، Koadic، LaZagne، Meterpreter، Mimikatz و غیره استفاده کرده است.
پژوهشگران امنیتی اعلام کردند که در این پویش که EmpireProject را توزیع میکند، مهاجمان از تزریق الگو استفاده کردهاند و از آسیبپذیری CVE-2017-11882 بهرهبرداری کردهاند. همچنین در پویشی که LaZagne را توزیع میکند، مهاجمان این بدافزار را وصله کردهاند تا POWERSTATS را در تابع اصلی توزیع و اجرا کنند. ترندمیکرو نتیجهگیری میکند که اگرچه به نظر میرسد MuddyWater به آسیبپذیریهای روز-صفرم و انواع بدافزارهای پیشرفته دسترسی ندارد، اما موفق شده است تا اهداف خود را در معرض حمله قرار دهد. به نظر میرسد استفاده از ایمیل بهعنوان یک بردار آلودگی، برای پویش این گروه جاسوسی موفقیت آمیز بوده است.
