Il gruppo di spionaggio MuddyWater è stato individuato in una campagna che compromette sistemi governativi, forze militari e telecomunicazioni in nove paesi del Medio Oriente, Asia ed Europa. La tecnica utilizzata è il DLL side-loading, in cui file legittimi di Windows caricano librerie dannose per rubare informazioni e mantenere un accesso persistente. Si raccomanda di monitorare l'avvio di processi non autorizzati.
Come opera il DLL side-loading nell'attacco 🕵️
MuddyWater sfrutta binari firmati di Windows che caricano DLL in modo insicuro. Posizionano una DLL dannosa con il nome previsto nella directory di esecuzione, e il processo legittimo la carica senza sospetti. Una volta dentro, distribuiscono strumenti come ScreenConnect o backdoor personalizzate per esfiltrare dati. La persistenza viene ottenuta tramite attività pianificate o modifiche al registro. I settori colpiti includono difesa e telecomunicazioni.
Windows: il complice perfetto (senza volerlo) 🤦
Risulta che lo stesso strumento di Microsoft sia quello che apre la porta. Gli attaccanti non hanno bisogno di exploit complessi: solo un eseguibile firmato e una DLL rinominata. È come se il portinaio dell'edificio ti lasciasse passare perché indossa l'uniforme giusta, anche se il tesserino è falso. Nel frattempo, i team IT esaminano i log cercando qualcosa che non sia un normale processo di Windows. Ironie del sistema.