Cercetătorii Kaspersky Lab care monitorizează activitatea Muddy Water, un atacator complex descoperit în 2017, când viza Irakul și Arabia Saudită, au detectat o operațiune de amploare axată pe entități guvernamentale și alte organizații din Iordania, Turcia, Azerbaidjan, Pakistan și Afganistan. Malware-ul este distribuit prin intermediul unei campanii personalizate de phishing care folosește documente Office și le solicită utilizatorilor să permită activarea unor elemente macros integrate. Atacurile sunt în desfășurare.
Muddy Water este un atacator relativ nou, ieșit la iveală în 2017, cu o campanie centrată pe ținte guvernamentale din Irak și Arabia Saudită. La începutul acestui an, cercetătorii Kaspersky Lab au detectat un val de e-mail-uri de phishing vizând mai multe țări decât cele descoperite anterior. Campania a avut un vârf între lunile mai și iunie 2018, dar continuă.
Conținutul mesajelor de phishing sugerează că principalele ținte sunt entități guvernamentale și militare, companii telecom și instituții de educație. Aceste e-mail-uri au un fișier MS Office 97-2003, iar infectarea începe imediat ce utilizatorul a fost convins să activeze elementele macros.
Cercetătorii Kaspersky Lab au analizat primele etape ale atacului și au publicat rezultatele pentru a ajuta organizațiile din regiunile vizate să se protejeze. Investigația continuă – asupra arsenalului atacatorilor, care conține cod PowerShell, VBS, VBA, Python și script-uri C#, RATs (Remote Access Trojans).
Odată ce procesul de infectare este activat, malware-ul stabilește contact cu serverul de comandă, alegând un URL aleatoriu dintr-o listă integrată. După scanarea efectuată pentru a verifica prezența unui software de securitate, malware-ul lasă o serie de script-uri pe computerul victimei, cu un cod PowerShell care stabilește o funcționalitate de backdoor și una de distrugere (ștergerea fișierelor). Folosirea unor fișiere MS legitime sugerează faptul că malware-ul poate trece peste orice blacklisting. În plus, codul PowerShell dezactivează caracteristicile Macro Warnings și Protected View pentru a se asigura că atacurile viitoare nu vor necesita nicio interacțiune cu utilizatorul.
Țintele atacului au fost detectate în Turcia, Iordania, Azerbaidjan, Irak și Arabia Saudită, precum și în Mali, Austria, Rusia, Iran și Bahrain.
Nu se știe sigur cine este în spatele operațiunii Muddy Water, dar atacurile sunt cu siguranță motivate de un interes geopolitic, vizând personal și organizații cheie. Codul folosit în atacurile actuale are câteva caracteristici care par a fi fost create pentru a distrage atenția investigatorilor și a-i induce în eroare. Printre acestea se numără inserția limbii chineze în cod și folosirea unor nume ca Leo, PooPak, Vendetta and Turk în malware.
„Pe parcursul ultimului an, am văzut grupul Muddy Water implementând numeroase atacuri și dezvoltând mereu noi metode și tehnici”, spune Amin Hasbini, senior security researcher în echipa globală de cercetare și analiză Kaspersky Lab (GReAT). „Grupul are dezvoltatori activi care îmbunătățesc setul de instrumente folosite pentru a micșora expunerea la produse și servicii de securitate. Este deci foarte posibil ca atacurile de acest tip să se intensifice în viitorul apropiat. Motivul pentru care am decis să facem publice primele noastre descoperiri este acela de a atrage atenția asupra amenințării, astfel încât organizațiile să poată lua măsuri de apărare. Încă analizăm arsenalul atacatorilor și vom urmări în continuare evoluția lor, strategia și greșelile pe care le fac.”
Kaspersky Lab le recomandă organizațiilor să ia în calcul implementarea următoarelor măsuri pentru a nu cădea victimele unor operațiuni de genul Muddy Water:
- Să implementeze o metodă complexă de detecție, prevenție și investigare a atacurilor direcționate, bazată pe soluții de securitate anti-atacuri direcționate și training.
- Să le dea angajaților acces la cele mai noi date despre amenințări, ceea ce le va permite să prevină și să descopere atacuri direcționate, cum ar fi indicatorii de compromitere și regulile YARA.
- Să se asigure că procesele de patch management sunt stabilite în organizație.
- Să verifice toate configurările sistemului și să implementeze cele mai bune practici.
- Să își educe personalul în legătură cu modul în care pot să recunoască și ce ar trebui să facă atunci când primesc un e-mail suspect.
