„Útoky obvykle začínají cíleným e-mailem odeslaným organizaci. Dalším krokem je ukradení legitimních dokumentů z infikovaných systémů organizace a poté jejich zneužití a distribuce dalším nic netušícím obětem,I říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.
„Soubory často obsahují loga skutečných společností nebo vládních subjektů, aby vše působilo důvěryhodněji, a připojena je zpráva, která uživatele vyzývá k povolení obsahu. Dobře zpracované škodlivé dokumenty využívají i sociální inženýrství a jsou první fází dlouhého infekčního řetězce, který končí infikováním powershellovým backdoorem POWERSTATS, který je právě spojovaný s touto útočnou skupinou. Tento výkonný backdoor může přijímat příkazy od útočníků, což umožňuje krást soubory z infikovaného systému, spouštět další skripty nebo třeba mazat soubory,“ dodává Petr Kadrmas.
Tyto metody zůstávají od počátku stejné, ale některé mezifáze se mění, aby MuddyWater nebyl odhalen, když bezpečnostní společnosti zjistí předchozí taktiku, techniky a postupy. V tomto posledním útoku poprvé vidíme ve druhé fázi spustitelný soubor, který není napsán v PowerShellu.
Ačkoli se MuddyWater většinou zaměřuje na oblast Blízkého východu, politická příslušnost, motivy a cíle nejsou zatím příliš zřejmé. V minulosti patřily mezi hlavní cíle země jako Saúdská Arábie, SAE a Turecko, ale kampaně se postupně rozšířily i na další země jako Bělorusko a Ukrajina.
Útočníci neustále inovují a experimentují s novými technikami a dalšími vrstvami, aby zamaskovali svůj specifický rukopis a ztížili odhalení, kdo za útoky stojí, takže můžeme očekávat další vývoj této hrozby.
video
