Группа шпионажа MuddyWater была обнаружена в кампании, которая компрометирует системы правительств, военных сил и телекоммуникаций в девяти странах Ближнего Востока, Азии и Европы. Используемая техника — DLL side-loading, при которой легитимные файлы Windows загружают вредоносные библиотеки для кражи информации и поддержания постоянного доступа. Рекомендуется мониторинг запуска неавторизованных процессов.
Как работает DLL side-loading в атаке 🕵️
MuddyWater эксплуатирует подписанные двоичные файлы Windows, которые небезопасно загружают DLL. Они помещают вредоносную DLL с ожидаемым именем в каталог выполнения, и легитимный процесс загружает её без подозрений. Попав внутрь, они разворачивают такие инструменты, как ScreenConnect или пользовательские бэкдоры, для эксфильтрации данных. Постоянство достигается с помощью запланированных задач или изменений в реестре. Затронутые сектора включают оборону и телекоммуникации.
Windows: идеальный сообщник (невольно) 🤦
Оказывается, что собственный инструмент Microsoft открывает дверь. Злоумышленникам не нужны сложные эксплойты: только подписанный исполняемый файл и переименованная DLL. Это как если бы консьерж в здании пропустил вас, потому что вы носите правильную униформу, хотя удостоверение поддельное. Тем временем ИТ-команды просматривают журналы в поисках чего-то, что не является нормальным процессом Windows. Ирония системы.