スパイグループ「MuddyWater」が、中東、アジア、ヨーロッパの9か国の政府、軍事、通信システムを侵害するキャンペーンで検出されました。使用された手法はDLLサイドローディングで、正規のWindowsファイルが悪意のあるライブラリを読み込み、情報を盗み、持続的なアクセスを維持します。不正なプロセス起動の監視が推奨されます。
攻撃におけるDLLサイドローディングの動作方法 🕵️
MuddyWaterは、DLLを安全でない方法で読み込む、署名済みのWindowsバイナリを悪用します。実行ディレクトリに期待される名前の悪意のあるDLLを配置し、正規のプロセスが疑うことなくそれを読み込みます。侵入後、ScreenConnectやカスタムバックドアなどのツールを展開してデータを外部に持ち出します。持続性は、スケジュールされたタスクやレジストリの変更によって達成されます。影響を受けるセクターには、防衛と通信が含まれます。
Windows:無意識の完璧な共犯者 🤦
マイクロソフトのツール自体がドアを開けていることが判明しました。攻撃者は複雑なエクスプロイトを必要としません。署名済みの実行可能ファイルと名前を変更したDLLだけです。まるで、身分証が偽物でも、正しい制服を着ているという理由で、ビルの警備員が通過を許可するようなものです。その間、ITチームは通常のWindowsプロセスではないものを探してログを確認しています。システムの皮肉です。