Il gruppo di cyber spionaggio MuddyWater utilizza nella messa in atto dei suoi cyber attack un’ampia gamma di tool post-infezione, per lo più sviluppati internamente, come rivelato dai ricercatori di Kaspersky Lab.
In primo luogo, MuddyWater è un gruppo di hacker altamente attivo dal 2017, che si concentra principalmente su obiettivi governativi e telco in Medio Oriente (Iraq, Arabia Saudita, Bahrain, Giordania, Turchia e Libano) e nelle regioni vicine (Azerbaigian, Pakistan e Afghanistan).
Dopo aver compromesso con successo un sistema, il gruppo ha utilizzato vari strumenti sviluppati in Python, C # e PowerShell per completare l’infiltrazione e eseguire l’estrazione dei dati, inclusi strumenti di download / esecuzione, Trojan di accesso remoto (RAT) e tool per l’estrazione di credenziali, cronologia e molto altro.
L’analisi ha anche rivelato l’uso di tecniche ingannevoli per deviare le indagini, che includono stringhe cinesi, archi russi e la rappresentazione del gruppo di hacker “RXR Arabia Saudita”, afferma Kaspersky. Sono stati scoperti anche molti errori OPSEC.
La maggior parte dei tool che i ricercatori di cyber security hanno analizzato sono scritti in Python o PowerShell (alcuni in C #), ma il gruppo utilizza anche utilità come Py2Exe, PyInstaller o PS2EXE per compilare vari script in eseguibili per la portabilità.
La prima delle applicazioni dannose di MuddyWater che Kaspersky ha analizzato è Nihay, un C-Download-and-Execute Trojan di base di natura, progettato per scaricare un one-liner PowerShell da un URL hardcoded.
Segue il RAT di LisfonService, simile a una backdoor precedentemente dettagliata, e progettato per selezionare casualmente un URL da una serie di URL Proxy hardcoded che nascondono il vero server di command & control (C & C).
Il malware raccoglie anche informazioni di base sulla vittima (nome utente, dominio o nome del gruppo di lavoro, nome del computer, indirizzo IP interno e pubblico, versione del sistema operativo e build). Assegna un ID alle vittime registrate e lo usa per richiedere comandi dal C & C.
Client.py è un RAT Python probabilmente sviluppato da MuddyWater e distribuito sui computer delle vittime come eseguibile Python compilato. La minaccia può raccogliere informazioni di base sulla macchina, ma supporta anche una serie di comandi per registrare le sequenze di tasti, rubare le password da Chrome, uccidere il task manager, ottenere l’esecuzione dei comandi remoti e visualizzare un messaggio di avviso alla vittima.
Client-win.py è uno script Python SSH che utilizza il plugin paramiko Python per creare una connessione SSH al C & C (un indirizzo IP hard-coded).
Rc.py/Rc.exe è un RAT Python di base distribuito sotto forma di un eseguibile con UPX. Supporta un piccolo numero di comandi per raccogliere le credenziali da Chrome, IE, Mozilla, Opera e Outlook; cambia directory, estrae informazioni sulla macchina vittima, genera nuovi processi, riceve file dal C & C e si auto elimina.
MuddyWater fa anche uso di vari file VBScript e file VBA nei suoi cyber attack, spiegano i ricercatori di Kaspersky. Vengono anche utilizzati script di terze parti, tra cui diversi script basati su “Lazagne”, come Losi Boomber e Muddy per l’estrazione di credenziali e il furto dei dati della cronologia di navigazione.
Altri script simili includono Slaver.py (uno script Python compilato che stabilisce un tunnel TCP inverso) e Cr.exe (uno script Python compilato basato su CrackMapExec, utilizzato per la raccolta di credenziali e l’esecuzione di codice laterale).
Il gruppo utilizza anche script PowerShell per scopi diversi, come il recupero di uno script PowerShell di secondo stadio, l’implementazione di funzioni per raccogliere informazioni utente e la modifica delle impostazioni dei criteri per le impostazioni di sicurezza di PowerShell.
“Gli attacchi di MuddyWater si sono espansi negli ultimi anni in termini di obiettivi e funzionalità del malware. Gli aggressori sembrano essere ragionevolmente ben equipaggiati per i loro obiettivi, con strumenti relativamente semplici e spendibili per infiltrarsi tra le vittime e per estrarre dati, utilizzando principalmente tool basati su Python e PowerShell. Questi strumenti sembrano anche consentire loro flessibilità nell’adattare e personalizzare il set di strumenti per le vittime “, conclude Kaspersky.
Francesco Boso – Content creator specializzato in sicurezza informatica presso Soteha – Solution Hub.
Sito web: https://sicurezza.net/
Pagina Facebook: https://www.facebook.com/Sicurezzanet-337821476841354/
