Η συνδεδεμένη με το Ιράν ομάδα MuddyWater Advanced Persistent Threat ξεκίνησε μια εξελιγμένη εκστρατεία spear-phishing με στόχο διπλωματικούς, θαλάσσιους, χρηματοοικονομικούς και τηλεπικοινωνιακούς τομείς σε όλη τη Μέση Ανατολή.
Οι φορείς απειλών χρησιμοποιούν οπλισμένα έγγραφα του Word για να παραδώσουν ένα νέο κακόβουλο λογισμικό που βασίζεται σε Rusty που ονομάζεται RustyWater, το οποίο αντιπροσωπεύει μια σημαντική αλλαγή από τα παραδοσιακά εργαλεία PowerShell και VBS.
Αυτό το αναβαθμισμένο εμφύτευμα μπορεί να παρακάμψει εργαλεία εντοπισμού και απόκρισης προστασίας από ιούς και τελικού σημείου μέσω πολλαπλών τεχνικών αποφυγής.
Η επίθεση ξεκινά με email που προσποιούνται ότι είναι επίσημες επικοινωνίες από νόμιμες οργανώσεις.
Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν κακόβουλα έγγραφα του Word που είναι μεταμφιεσμένα ως κατευθυντήριες γραμμές για την ασφάλεια στον κυβερνοχώρο ή έγγραφα πολιτικής. Όταν τα θύματα ενεργοποιούν τις μακροεντολές, ο κρυφός κώδικας VBA ενεργοποιείται και ξεκινά τη διαδικασία μόλυνσης.
Ερευνητές CloudSEK αναγνωρισθείς αυτή η εκστρατεία μετά τον εντοπισμό ασυνήθιστων μοτίβων στη δραστηριότητα απειλών σε οργανισμούς της Μέσης Ανατολής.
Το κακόβουλο έγγραφο περιέχει δύο λειτουργίες μακροεντολής VBA που συνεργάζονται για την ανάπτυξη του ωφέλιμου φορτίου. Η συνάρτηση WriteHexToFile εξάγει δεδομένα με εξαγωνική κωδικοποίηση που είναι κρυμμένα μέσα σε ένα στοιχείο ελέγχου UserForm, τα μετατρέπει σε δυαδική μορφή και τα αποθηκεύει ως CertificationKit.ini στο φάκελο ProgramData.
Η δεύτερη συνάρτηση, που ονομάζεται love_me_, χρησιμοποιεί συσκότιση τιμών ASCII για τη δυναμική δημιουργία συμβολοσειρών εντολών.
Ανακατασκευάζει το WScript.Shell μέσω κωδικών χαρακτήρων και εκτελεί το απορριφθέν ωφέλιμο φορτίο χρησιμοποιώντας το cmd.exe. Αυτή η προσέγγιση βοηθά το κακόβουλο λογισμικό να αποφύγει τον εντοπισμό στατικής υπογραφής από εργαλεία ασφαλείας.
Το RustyWater εδραιώνει την επιμονή προσθέτοντας τον εαυτό του στο κλειδί εκκίνησης του μητρώου των Windows. Το κακόβουλο λογισμικό ελέγχει πρώτα τη θέση του μητρώου Run του τρέχοντος χρήστη και δημιουργεί μια καταχώρηση που οδηγεί στο CertificationKit.ini, ώστε να εκτελείται αυτόματα κατά την εκκίνηση του συστήματος.
Το εμφύτευμα χρησιμοποιεί κρυπτογράφηση XOR ανεξάρτητη από τη θέση για να κρύψει όλες τις χορδές του, καθιστώντας την ανάλυση πιο δύσκολη.
Πριν εκτελέσει τις κύριες λειτουργίες του, το RustyWater σαρώνει το σύστημα για περισσότερα από 25 προϊόντα προστασίας από ιούς και EDR ελέγχοντας ονόματα υπηρεσιών, αρχεία αντιπροσώπων και διαδρομές εγκατάστασης. Όταν εντοπίζει εργαλεία ασφαλείας, αλλάζει τη συμπεριφορά του για να παραμείνει κρυφό.
Το κακόβουλο λογισμικό συλλέγει πληροφορίες θυμάτων, συμπεριλαμβανομένων ονόματος χρήστη, ονόματος υπολογιστή και στοιχείων τομέα.
Συσκευάζει αυτά τα δεδομένα σε μορφή JSON και, στη συνέχεια, εφαρμόζει κωδικοποίηση base64 και κρυπτογράφηση XOR σε τρία επίπεδα πριν τα στείλει σε διακομιστές εντολών και ελέγχου.
Το RustyWater χρησιμοποιεί τη βιβλιοθήκη Rust reqwest για επικοινωνία HTTP με ενσωματωμένα χρονικά όρια, ομαδοποίηση σύνδεσης και λογική επανάληψης δοκιμής. Το εμφύτευμα δημιουργεί τυχαία διαστήματα ύπνου μεταξύ των επικοινωνιών για να κάνει πιο δύσκολο να αναλυθούν τα μοτίβα κυκλοφορίας του δικτύου.
Οι εταιρείες ημιαγωγών στη Μαλαισία παρακολουθούν στενά τους κινδύνους που ενδέχεται να προκύψουν από πιθανές…
Όσο κι αν προσπαθούμε να το αρνηθούμε, η άσκηση είναι προφανώς πολύ, πολύ καλή για…
Η ευρωπαϊκή μάχη για την Τεχνητή Νοημοσύνη και την αγορά των ΑΙ chips περνά πλέον…
Μια ιδιαίτερα ενδιαφέρουσα έρευνα δημοσιεύθηκε στο περιοδικό Science και προκύπτει από μελέτη ερευνητών του Πανεπιστημίου…
Ο Διευθύνων Σύμβουλος της Xiaomi, Lei Jun, ανακοίνωσε ότι το ιδιόκτητο της εταιρείας 2200MPa Super…
Η IDEAL Software Solutions, θυγατρική της Byte, ανακοινώνει το λανσάρισμα της DocGen Platform. Πρόκειται για μια σύγχρονη λύση αυτοματοποιημένης δημιουργίας, διαχείρισης και διανομής επιχειρησιακών…
