
Nestes últimos dias alguém decidiu publicar código e informações adicionais sobre este grupo de ataques persistentes avançados.
Este grupo mudou as sua estratégia para evitar deteção. Com a ultima campanha com o nome de código blackwater os investigadores de segurança estão a publicar informação mais detalhada sobre as técnicas do grupo.
Se a campanha for concluída com sucesso os atacantes instalam uma porta de entrada baseada em powershell na máquina da vitima. Isto permite aos atacantes acesso remoto á maquina.
Na tentativa de alcançar persistência na maquina é também usado um código ofuscado em VBA para inclusão de chave no registo que permite essa persistência, depois o script inicializa um “stager” em powershell para tentar passar á fase 2 da infeção onde comunica com um servidor e tenta fazer download de um outro modulo que é uma open source framwork no github. Isto permite ao atacante recolher mais informação da máquina e ate detetar tentativas de análise á maquina infetada por terceiros.
Mais informação sobre este grupo, estratégias e codigo pode ser encontrada nas ligações em baixo.
Informação sobre o grupo
https://blog.talosintelligence.com/2019/05/recent-muddywater-associated-blackwater.html
Informação detalhada da CISCO Talos.
Código Fonte
Código fonte libertado.