info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

هشدار ارتش آمریکا در مورد حمله اخیر Muddy water

خلاصه: ارتش آمریکا از حمله APT به بخش‌های مخابراتی، فناوری اطلاعات و نفت گزارش داده است. این حمله به گروه Muddy water منسوب شده است.

 

گروه Muddy water برای اولین‌بار در سال ۲۰۱۷ شناسایی شد. این گروهِ APT بسیار فعال، بخش‌های مخابراتی، فناوری اطلاعات و نفت را هدف قرار داده ‌است. این APT به تازگی از چند بدافزار برای فعالیت‌های مخرب خود استفاده کرده‌ است. در گزارش VirusTotal آمده است که Muddy water از تکنیک‌های مختلفی برای دسترسی به شبکه‌‌ی قربانیان استفاده می‌کند. MuddyWater عمدتا از PowGoop DLL Loader و Mori Backdoor استفاده می‌کند. DLLهایی که برای فریب برنامه‌ها به منظور اجرای بدافزار استفاده می‌شود. وظیفه این DLLها مبهم‌کردن اسکریپت‌های پاورشل برای مخفی کردن عملکردهای فرمان و کنترل (command and controlیا همان C2) است.

DLLهای این بدافزارها شامل انواع مختلفی از PowGoop است. PowGoop یک Loader DLL است که برای رمزگشایی و اجرای downloader بدافزار مبتنی بر پاورشل طراحی شده است. برخی از نمونه‌های جاوا اسکریپت نیز در سیستم‌های قربانی مشاهده شده است. این نمونه‌ها با استفاده از loader PowGoop و درب پشتی Mori با قابلیت‌های ارتباطی تونل DNS در VirusTotal به اشتراک گذاشته شده است.

ارتش آمریکا نیز هشدار داد اگر ترکیبی از این ابزارها را در سیستم خود مشاهده کردید، Muddy water در شبکه شما حضور دارد و لازم است تکنیک‌های مختلف برای حفاظت از شبکه‌ها انجام شود.

جزئیات بیشتر از حمله PowGoop DLL Loader

  1.  GoogleUpdate.exe درست(قانونی) باینریِ goopdate86.dll درست را در حافظه load می‌کند.
     
  2. goopdate86.dll با استفاده از تکنیک DLL side-loading، goopdate.dll مخرب (اولین Loader ازPowGoop)  را در حافظه load می‌کند. MuddyWater از اسامی libpcre2-8-0.dll andvcruntime140.dll برای اولین loader استفاده می‌کند.
     
  3. goopdate.dll بارگذاری شده(loadشده) rundll32.exe را با پارامتر DllRegisterServer اجرا می‌کند.
     
  4.  خروجی goopdate.dll مخرب، DllRegisterServer  است که اجرا می‌شود. با این کار دومین لودر goopdate.dat را در حافظه load می‌کند. goopdate.dat اسکریپت مبهم پاورشل است.
     
  5. goopdate.dll ابهام زدایی می‌شود و goopdate.dat اجرا می‌شود. سپس، goopdate.dat کدهای مبهم را حذف می‌کند و config.txt را اجرا می‌کند که در واقع یکی دیگر از اسکریپت‌های مبهم پاورشل است.
     
  6.  config.txt که یک پاورشل اسکریپت است، کدگذاری می‌شود. سرور C2 و PowGoop  با استفاده مکانیزم کدگذاری base64 ارتباط برقرار می‌کنند. Config.txt به عنوان downloader کار می‌کند و منتظر payloadهای اضافی است. اغلب، آدرس IP سرور C2 در config.txt کدگذاری می‌شود. با استفاده از سرویس Google Update، goopdate.dll ارتباطات با سرورهای C2 را پنهان می‌کند.