Die Spionagegruppe MuddyWater wurde bei einer Kampagne entdeckt, die Systeme von Regierungen, Streitkräften und Telekommunikationsunternehmen in neun Ländern des Nahen Ostens, Asiens und Europas kompromittiert. Die verwendete Technik ist das DLL-Side-Loading, bei dem legitime Windows-Dateien bösartige Bibliotheken laden, um Informationen zu stehlen und dauerhaften Zugriff zu gewährleisten. Es wird empfohlen, nicht autorisierte Prozessstarts zu überwachen.
Wie das DLL-Side-Loading beim Angriff funktioniert 🕵️
MuddyWater nutzt signierte Windows-Binärdateien aus, die DLLs unsicher laden. Sie platzieren eine bösartige DLL mit dem erwarteten Namen im Ausführungsverzeichnis, und der legitime Prozess lädt sie ohne Verdacht. Einmal im System, setzen sie Tools wie ScreenConnect oder benutzerdefinierte Backdoors ein, um Daten zu exfiltrieren. Die Persistenz wird durch geplante Aufgaben oder Registrierungsänderungen erreicht. Zu den betroffenen Sektoren gehören Verteidigung und Telekommunikation.
Windows: der perfekte Komplize (unfreiwillig) 🤦
Es stellt sich heraus, dass das eigene Microsoft-Tool die Tür öffnet. Die Angreifer benötigen keine komplexen Exploits: nur eine signierte ausführbare Datei und eine umbenannte DLL. Es ist, als würde der Pförtner des Gebäudes dich hereinlassen, weil du die richtige Uniform trägst, obwohl der Ausweis gefälscht ist. Währenddessen durchsuchen IT-Teams Protokolle nach etwas, das kein normaler Windows-Prozess ist. Ironie des Systems.