Specialiseret om spionage Muddywater gruppe, også kendt som SeedWorm og TEMP.Zagros, inkluderet i sit sæt af teknikker, taktik og procedurer nye metoder, der tillader at have fjernadgang til inficerede systemer og forbliver ubemærket på samme tid.
FFØRSTE tid gruppe blev berømt i 2017, når det angreb mellemøstlige organisationer, imidlertid, senere den omfattede statslige og militære virksomheder i Central- og Sydøstasien, samt virksomheder i Europa og Nordamerika.Cisco Talos specialister analyserede seneste kampagne, der blev kaldt Sort vand, og forbundet det til MuddyWater cybergroup. De bemærket nogle nye taktikker, anvendes af et band at skjule spor af sin aktivitet.
”Cisco Talos vurderer med moderat tillid til, at en kampagne vi for nylig opdagede kaldt “Sort vand” er forbundet med mistanke om vedvarende trussel skuespiller MuddyWater. Nyligt tilknyttede prøver er fra april 2019 angiver angribere har tilføjet tre adskilte trin til deres operationer, giver dem mulighed for at omgå visse sikkerhedskontrol og tyder på, at MuddyWater taktik, teknikker og procedurer (ttps) har udviklet sig til at undgå opdagelse”, - hævdede Cisco Talos forskere.
I særdeleshed, kriminelle brugte korrumperet VBA-makroer der giver malware-programmer bevare tilstedeværelse på de inficerede Windows-maskiner, tilføjer Run indskrive nøglen. Malware tilføjet på ofrenes computere gennem fiskeri bogstav og for deres kiggeri var nødvendig for at tænde malware makroer, der blokerede mulighed for at se sin kildekode.
Mellem februar og marts 2019 band tilsat PowerShell kommandoer i malware vedhæftede filer til vedvarende i et system og indsamling af data om inficerede computer, der senere blev sendt på den styres af angriberne serveren. Angribere bruges PowerSheell script til at downloade Trojan fra C&C server, især bygget på den åbne FruityC2 rammer.
Indsamlede oplysninger indgår i URL så kompliceret at opdage, og også foretage overvågning af web-logs og etablere, når en person, der ikke er knyttet til Blackwater, sendt en anmodning på en server for at studere mistænkelig aktivitet.
Kilde: https://blog.talosintelligence.com
