Blog

Tizimda o’z mavjudligini saqlab qolish uchun guruh PowerShell buyruqlari va obfuskatsiyalangan VBA makrosidan foydalanadi.

MuddyWater, kiberjosuslik bo’yicha ixtisoslashgan, SeedWorm va TEMP.Zagros nomi bilan ham tanilgan guruh, aniqlanmay qolgan holda yuqtirilgan tizimlarga masofadan kirish imkonini beruvchi yangi usullarni o’z texnikalari, taktikalari va protseduralari to’plamiga qo’shdi. Guruh ilk bor 2017 yilda ma’lum bo’ldi. O’sha paytda MuddyWater asosan Yaqin Sharqdagi tashkilotlarga hujum qilgan, ammo keyinchalik o’z diqqat doirasini Markaziy va Janubi-Sharqiy Osiyodagi hukumat va mudofaa kompaniyalari hamda Yevropa va Shimoliy Amerikadagi korxonalarga kengaytirdi. Cisco Talos mutaxassislari MuddyWater’ning so’nggi, BlackWater deb nomlangan kampaniyasini tahlil qilib, guruh faoliyatini yashirish uchun qo’llagan bir nechta yangi taktikalarga e’tibor qaratdi. Xususan, hujumchilar obfuskatsiyalangan VBA makrosidan foydalangan, u zararli dasturga boshqarilgan Windows kompyuterlarda Run registr kalitini qo’shish orqali o’z mavjudligini saqlash imkonini bergan. Zararli dastur phishinq xabarlari orqali qurbonlarning kompyuterlariga yetkazildi; ularni ko’rish uchun zararli makroni yoqish talab etilardi, bu esa uning manba kodini ko’rish imkonini bloklardi.

2019 yil fevral va mart oylarida guruh tizimda doimiylikni saqlash va yuqtirilgan kompyuter haqidagi ma’lumotlarni to’plash uchun zararli ilovalariga PowerShell buyruqlarini qo’shdi, keyin esa ularni hujumchilar nazoratidagi serverga yubordi. Hujumchilar ochiq manbali FruityC2 ramkasi asosida qisman yaratilgan C&C serverdan Trojan yuklab olish uchun PowerShell skriptidan foydalangan.

Yig’ilgan ma’lumotlar URLga kiritilgan edi, bu aniqlashni qiyinlashtirdi va shuningdek veb-loglarni kuzatish hamda BlackWater kampaniyasi bilan bog’liq bo’lmagan kimdir serverga so’rov yuborgan vaqtni aniqlash orqali gumonli faoliyatni tergov qilish imkonini berdi.