Η συνδεδεμένη με το Ιράν ομάδα MuddyWater Advanced Persistent Threat ξεκίνησε μια εξελιγμένη εκστρατεία spear-phishing με στόχο διπλωματικούς, θαλάσσιους, χρηματοοικονομικούς και τηλεπικοινωνιακούς τομείς σε όλη τη Μέση Ανατολή.
Οι φορείς απειλών χρησιμοποιούν οπλισμένα έγγραφα του Word για να παραδώσουν ένα νέο κακόβουλο λογισμικό που βασίζεται σε Rusty που ονομάζεται RustyWater, το οποίο αντιπροσωπεύει μια σημαντική αλλαγή από τα παραδοσιακά εργαλεία PowerShell και VBS.
Αυτό το αναβαθμισμένο εμφύτευμα μπορεί να παρακάμψει εργαλεία εντοπισμού και απόκρισης προστασίας από ιούς και τελικού σημείου μέσω πολλαπλών τεχνικών αποφυγής.
Η επίθεση ξεκινά με email που προσποιούνται ότι είναι επίσημες επικοινωνίες από νόμιμες οργανώσεις.
Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν κακόβουλα έγγραφα του Word που είναι μεταμφιεσμένα ως κατευθυντήριες γραμμές για την ασφάλεια στον κυβερνοχώρο ή έγγραφα πολιτικής. Όταν τα θύματα ενεργοποιούν τις μακροεντολές, ο κρυφός κώδικας VBA ενεργοποιείται και ξεκινά τη διαδικασία μόλυνσης.
Ερευνητές CloudSEK αναγνωρισθείς αυτή η εκστρατεία μετά τον εντοπισμό ασυνήθιστων μοτίβων στη δραστηριότητα απειλών σε οργανισμούς της Μέσης Ανατολής.
Το κακόβουλο έγγραφο περιέχει δύο λειτουργίες μακροεντολής VBA που συνεργάζονται για την ανάπτυξη του ωφέλιμου φορτίου. Η συνάρτηση WriteHexToFile εξάγει δεδομένα με εξαγωνική κωδικοποίηση που είναι κρυμμένα μέσα σε ένα στοιχείο ελέγχου UserForm, τα μετατρέπει σε δυαδική μορφή και τα αποθηκεύει ως CertificationKit.ini στο φάκελο ProgramData.
Η δεύτερη συνάρτηση, που ονομάζεται love_me_, χρησιμοποιεί συσκότιση τιμών ASCII για τη δυναμική δημιουργία συμβολοσειρών εντολών.
Ανακατασκευάζει το WScript.Shell μέσω κωδικών χαρακτήρων και εκτελεί το απορριφθέν ωφέλιμο φορτίο χρησιμοποιώντας το cmd.exe. Αυτή η προσέγγιση βοηθά το κακόβουλο λογισμικό να αποφύγει τον εντοπισμό στατικής υπογραφής από εργαλεία ασφαλείας.
Μηχανισμοί Διαφυγής και Εμμονής πολλαπλών στρωμάτων
Το RustyWater εδραιώνει την επιμονή προσθέτοντας τον εαυτό του στο κλειδί εκκίνησης του μητρώου των Windows. Το κακόβουλο λογισμικό ελέγχει πρώτα τη θέση του μητρώου Run του τρέχοντος χρήστη και δημιουργεί μια καταχώρηση που οδηγεί στο CertificationKit.ini, ώστε να εκτελείται αυτόματα κατά την εκκίνηση του συστήματος.
.webp.jpeg "MuddyWater APT Weaponizing Word Documents to Deliver 'RustyWater' Toolkit Evading AV and EDR Tools")
Το εμφύτευμα χρησιμοποιεί κρυπτογράφηση XOR ανεξάρτητη από τη θέση για να κρύψει όλες τις χορδές του, καθιστώντας την ανάλυση πιο δύσκολη.
Πριν εκτελέσει τις κύριες λειτουργίες του, το RustyWater σαρώνει το σύστημα για περισσότερα από 25 προϊόντα προστασίας από ιούς και EDR ελέγχοντας ονόματα υπηρεσιών, αρχεία αντιπροσώπων και διαδρομές εγκατάστασης. Όταν εντοπίζει εργαλεία ασφαλείας, αλλάζει τη συμπεριφορά του για να παραμείνει κρυφό.
.webp.jpeg "MuddyWater APT Weaponizing Word Documents to Deliver 'RustyWater' Toolkit Evading AV and EDR Tools")
Το κακόβουλο λογισμικό συλλέγει πληροφορίες θυμάτων, συμπεριλαμβανομένων ονόματος χρήστη, ονόματος υπολογιστή και στοιχείων τομέα.
Συσκευάζει αυτά τα δεδομένα σε μορφή JSON και, στη συνέχεια, εφαρμόζει κωδικοποίηση base64 και κρυπτογράφηση XOR σε τρία επίπεδα πριν τα στείλει σε διακομιστές εντολών και ελέγχου.
Το RustyWater χρησιμοποιεί τη βιβλιοθήκη Rust reqwest για επικοινωνία HTTP με ενσωματωμένα χρονικά όρια, ομαδοποίηση σύνδεσης και λογική επανάληψης δοκιμής. Το εμφύτευμα δημιουργεί τυχαία διαστήματα ύπνου μεταξύ των επικοινωνιών για να κάνει πιο δύσκολο να αναλυθούν τα μοτίβα κυκλοφορίας του δικτύου.
