Continua la saga storica di MuddyWater e degli attacchi APT realizzati nel corso degli anni contro obiettivi sensibili e fondamentali per l’Iran. Dopo aver analizzato l’anno del battesimo, 2017, e quello operativo, 2018, l’anno 2019 è stato davvero importante per il gruppo militare cibernetico di Theran che ha attirato l’attenzione di tutte le società di sicurezza informatica del globo.
MuddyWater prende di mira gruppi e organizzazioni politiche curde in Turchia
MuddyWater ha preso di mira gruppi curdi e varie organizzazioni in Turchia legate all’esercito e al settore della difesa. Le recenti scoperte mostrano una differenza nelle tecniche utilizzate rispetto agli attacchi precedenti.
Bersagli e vettore di attacco
La maggior parte dei bersagli in questa ondata di attacchi fa parte di gruppi curdi, come il partito curdo-iraniano “Komala” in Iraq, e varie organizzazioni in Turchia affiliate all’esercito e al settore della difesa turco. L’infezione iniziale avviene tramite email con un documento Word malevolo.
Analisi tecnica del file utilizzato per attaccare il partito curdo
Il documento di esca contiene un’immagine sfocata che impersona un documento ufficiale del Governo Regionale del Kurdistan. Il bersaglio viene quindi invitato ad abilitare la modifica o il contenuto, ma ciò esegue in realtà un comando Macro malevolo chiamato Gladiator_CRK. A differenza degli attacchi precedenti, il codice malevolo non viene scaricato da un server compromesso, ma è già contenuto nel documento.
Persistenza e estrazione del malware POWERSTATS
Dopo l’esecuzione, la Macro malevola modifica alcuni valori del Registro per garantire la persistenza del codice malevolo anche dopo il riavvio del sistema compromesso. Inoltre, vengono creati due file nella cartella Temp che contengono segmenti del codice malevolo utilizzato per estrarre il malware POWERSTATS.
Metodo diverso dagli attacchi precedenti
Questo metodo è diverso dagli attacchi precedenti, in cui il malware veniva scaricato da un server C2. In questo attacco, il malware viene estratto direttamente dal file dropper. Un altro file rilevato crea un file di testo crittografato e uno script Batch che crea un compito pianificato per estrarre il file ogni ora.
Indicatori di compromissione (IoC)
Gli indicatori di compromissione sono disponibili per gli abbonati ai servizi di intelligence sulle minacce di ClearSky. Alcuni degli indicatori includono hash di file malevoli e indirizzi IP associati all’attacco.
Attacchi APT in Bielorussia, Turchia e Ucraina
Gli attacchi di MuddyWater iniziano solitamente con un’email mirata. I documenti legittimi vengono rubati dai sistemi compromessi e poi armati e distribuiti ad altre vittime ignare. Questi documenti contengono messaggi ingannevoli che invitano l’utente ad abilitare il contenuto, innescando una catena di infezione che alla fine consegna POWERSTATS, un backdoor PowerShell distintivo del gruppo.
Evoluzione delle tatticheù
Sebbene i metodi siano rimasti coerenti negli anni, le fasi intermedie dell’attacco sono state modificate a causa della consapevolezza delle tattiche di MuddyWater da parte dei fornitori di sicurezza. In questo ultimo attacco, per la prima volta, è presente una seconda fase eseguibile non scritta in PowerShell.
Il nuovo campione
Un documento Word malevolo intitolato “SPK KANUN DEĞİŞİKLİĞİ GİB GÖRÜŞÜ.doc” è stato scoperto, contenente macro e cercando di convincere la vittima ad abilitare il contenuto. Se le macro vengono abilitate, un payload viene decodificato e salvato, innescando una serie di eventi che portano all’infezione.
Flusso di infezione e tecniche anti-analisi
Il flusso di infezione include la creazione di file eseguibili, la modifica delle chiavi del Registro e l’utilizzo di tecniche anti-analisi. Il codice è scritto in modo da rendere difficile l’analisi statica, con frammentazione e calcoli dinamici.
Somiglianze e anomalie con MuddyWater
I documenti e le macro contenevano stringhe uniche che hanno permesso di trovare altri campioni simili. Tuttavia, ci sono alcune differenze tra questi e i documenti di consegna comuni attribuiti a MuddyWater, suggerendo che gli stessi aggressori stiano conducendo campagne parallele.
Innovazione e sperimentazione continua
MuddyWater ha dimostrato di essere costantemente in fase di innovazione e di sperimentare nuove tecniche. Le sovrapposizioni extra rendono più difficile attribuire un attacco con alta fiducia. Gli attaccanti sembrano essere pronti a introdurre ulteriori cambiamenti nel prossimo futuro.
Aggiunta di exploit all’arsenale e fughe di dati sensibili
Nonostante alcune perdite di dati sensibili riguardanti le APT iraniani, MuddyWater continua a essere attivo, utilizzando nuovi exploit e tecniche per colpire entità governative e il settore delle telecomunicazioni. Il cyberspazio iraniano è stato scosso da perdite di dati altamente sensibili riguardanti gruppi APT iraniani, esponendo abilità, strategie e strumenti di attacco. Tuttavia, le attività di MuddyWater sembrano non essere state influenzate, e il gruppo ha aggiunto nuovi exploit al suo arsenale.
Le perdite e l’impatto su MuddyWater
Le perdite hanno svelato i framework di attacco e le web shell di APT-34 (noto come gruppo OilRig) e dettagli precedentemente sconosciuti riguardanti l’operazione di MuddyWater. Nonostante ciò, l’indagine di Clearsky indica che le attività di MuddyWater non sono state influenzate.
Nuovo vettore di attacco avanzato
Clearsky ha rilevato un nuovo e avanzato vettore di attacco utilizzato da MuddyWater per prendere di mira entità governative e il settore delle telecomunicazioni. Il TTP include documenti esca che sfruttano CVE-2017-0199 come prima fase dell’attacco, seguita dalla comunicazione con i server C2 compromessi e dal download di un file infetto con macro.
L’uso combinato di due vettori
Per la prima volta, MuddyWater ha utilizzato due vettori in combinazione: documenti esca con macro incorporate e documenti che sfruttano la vulnerabilità CVE-2017-0199. Questa combinazione rappresenta un’evoluzione nelle tattiche del gruppo.
Divisione delle squadre di attacco MOIS
Analizzando i documenti Rana, sembra che le squadre di attacco del Ministero dell’Intelligence iraniano (MOIS) siano divise in due rami: uno specializzato nell’hacking dei sistemi e l’altro nel compromettere gli asset attraverso l’ingegneria sociale e i metodi di spear-phishing. MuddyWater è probabilmente quest’ultimo gruppo.
Seedworm o Muddywater? Powgoop è la novità in corso d’anno
Seedworm, un gruppo di spionaggio legato all’Iran, continua a essere molto attivo, attaccando un’ampia gamma di obiettivi, tra cui numerose organizzazioni governative nel Medio Oriente. Recentemente, è stato scoperto che il gruppo ha incorporato uno strumento chiamato PowGoop, suggerendo una possibile rielaborazione dei suoi metodi.
Attività recente e collegamento con PowGoop
Gli attacchi recenti di Seedworm sono stati scoperti grazie all’analisi avanzata di Symantec. Tra le cose segnalate c’era una chiave di registro chiamata “SecurityHealthCore”, eseguita da PowerShell, che ha portato alla scoperta di un noto backdoor di Seedworm. Gli attacchi sono stati scoperti contro obiettivi in Iraq, Turchia, Kuwait, Emirati Arabi Uniti e Georgia.
Tecniche di attacco e strumenti utilizzati
Durante gli attacchi, Seedworm ha eseguito attività di furto di credenziali e ha impostato tunnel per assistere con il movimento laterale utilizzando strumenti open-source come Secure Sockets Funneling (SSF) e Chisel. È stato osservato anche l’uso di PowGoop, uno strumento che sembra essere collegato a Seedworm con una fiducia media.
La connessione PowGoop
PowGoop è un loader DLL che probabilmente arriva in un file ZIP chiamato ‘google.zip’. È stato osservato che l’attività di Seedworm era seguita dall’attività di PowGoop solo sei giorni dopo. In alcuni casi, PowGoop è stato utilizzato per lanciare un file VBS sconosciuto chiamato ‘v.txt’.
Collegamenti aggiuntivi tra Seedworm e PowGoop
In diversi attacchi di Seedworm, PowGoop è stato utilizzato su computer che erano anche infettati da malware Seedworm noti. Ciò solleva la questione se PowGoop sia effettivamente un’evoluzione di Powerstats piuttosto che uno strumento completamente nuovo. Tuttavia, non ci sono prove sufficienti per confermare questa ipotesi.
Link con il ransomware Thanos
PowGoop è stato collegato in modo lasso a una variante di ransomware nota come Thanos. Symantec non ha trovato prove di un wiper o ransomware su computer infettati con PowGoop, suggerendo che la presenza simultanea di PowGoop e Thanos in un attacco fosse una coincidenza o che PowGoop non fosse usato esclusivamente per consegnare Thanos.
Backdoor ‘Aclip’ per abusare dell’API Slack e rubare dati delle compagnie aeree
ITG17, noto anche come ‘MuddyWater’, è sospettato di essere dietro una nuova campagna che utilizza un backdoor chiamato ‘Aclip’. Questa backdoor abusa dell’API Slack per inviare informazioni di sistema, file e screenshot al server di comando e controllo (C2), ricevendo comandi in cambio.
Abuso di Slack
Slack è una piattaforma ideale per nascondere comunicazioni malevole, poiché i dati possono mescolarsi bene con il traffico aziendale regolare. L’abuso dell’API Slack non è una novità, ma è una tattica che altri attori hanno seguito in passato. Slack ha risposto prontamente, chiudendo gli spazi di lavoro gratuiti utilizzati in questo modo e confermando che non è stato compromesso alcun dato cliente.
Backdoor Aclip
Aclip è una backdoor recentemente osservata, eseguito tramite uno script batch di Windows chiamato ‘aclip.bat’. Stabilisce la persistenza su un dispositivo infetto aggiungendo una chiave di registro e si avvia automaticamente all’avvio del sistema. Aclip riceve comandi PowerShell dal server C2 tramite le funzioni API Slack e può essere utilizzato per eseguire ulteriori comandi, inviare screenshot e sottrarre file.
Collegamento con MuddyWaters/ITG17
IBM ha collegato l’attacco a MuddyWaters/ITG17 dopo aver trovato due campioni di malware personalizzati noti per essere attribuiti al gruppo di hacking. L’indagine ha rivelato strumenti personalizzati che corrispondono al malware precedentemente attribuito a ITG17, come la backdoor ‘Win32Drv.exe’ e la web shell ‘OutlookTR.aspx’.
