Blog post

Muddywater

Nestes últimos dias alguém decidiu publicar código e informações adicionais sobre este grupo de ataques persistentes avançados.

Este grupo mudou as sua estratégia para evitar deteção. Com a ultima campanha com o nome de código blackwater os investigadores de segurança estão a publicar informação mais detalhada sobre as técnicas do grupo.

Se a campanha for concluída com sucesso os atacantes instalam uma porta de entrada baseada em powershell na máquina da vitima. Isto permite aos atacantes acesso remoto á maquina.

Na tentativa de alcançar persistência na maquina é também usado um código ofuscado em VBA para inclusão de chave no registo que permite essa persistência, depois o script inicializa um “stager” em powershell para tentar passar á fase 2 da infeção onde comunica com um servidor e tenta fazer download de um outro modulo que é uma open source framwork no github. Isto permite ao atacante recolher mais informação da máquina e ate detetar tentativas de análise á maquina infetada por terceiros.

Mais informação sobre este grupo, estratégias e codigo pode ser encontrada nas ligações em baixo.

Informação sobre o grupo

https://blog.talosintelligence.com/2019/05/recent-muddywater-associated-blackwater.html

Informação detalhada da CISCO Talos.
informação sobre o muddywater
Libertação de código fonte do muddywater

Código Fonte

https://github.com/0xffff0800/muddyc3

Código fonte libertado.

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.

%d bloggers like this: