Recent MuddyWater-associated BlackWater campaign shows signs of new anti-detection techniques

Fuente: http://blog.talosintelligence.com/

Investigadores de Cisco Talos dan detalles sobre una campaña reciente llamada “BlackWater”, la misma tiene relación con un actor persistente llamado MuddyWater. Las recientes muestras asociadas desde abril 2019 dan a entender que los atacantes han agregado tres acciones a las operaciones habituales de esta familia, esto permite evadir con facilidad los controles de seguridad, esto sugiere que las tácticas, técnicas y procedimientos de MuddyWater han evolucionado para evadir las detecciones en el host y han reemplazado los nombres de variables para evitar las firmas Yara.

Los datos proporcionados en el siguiente enlace, https://blog.talosintelligence.com/2019/05/recent-muddywater-associated-blackwater.html , podrían permitir a los equipos de caza de amenazas, a identificar las actividades para dichas campañas. El código original del malware no ha sido modificado, el éxito de este cambio permite tener acceso a una puerta trasera mediante la ejecución de instrucciones Powershell.

PS_Watter1

Se pueden apreciar cambios significativos en su accionar inicial, desde secuencias de comandos en Visual Basic (VBA) ofuscadas, con esto se logra persistencia en las llaves de registro. Lo siguiente es instruir vía powershell haciendo el llamado a un servidor controlado por el atacante para extraer el componente FruityC2 

WMI_OBJECT

Conclusión

Además de los nuevos pasos contra la detección descritos en este informe, los actores de MuddyWater han realizado pequeñas modificaciones para evitar las firmas comunes basadas en el host y han reemplazado los nombres de variables para evitar las firmas Yara. Estos cambios fueron superficiales, ya que su base de código subyacente y la funcionalidad del implante se mantuvieron prácticamente sin cambios. Sin embargo, aunque estos cambios fueron mínimos, fueron lo suficientemente significativos como para evitar algunos mecanismos de detección. A pesar del informe del mes pasado sobre aspectos de la campaña MuddyWater, el grupo no se desanimó y continúa realizando operaciones. Basándonos en estas observaciones, así como en el historial de MuddyWater de apuntar a entidades con base en Turquía, evaluamos con una confianza moderada que esta campaña está asociada con el grupo de actores de amenazas MuddyWater.

Autor: malwargsecurity

malwargsecurity un proyecto personal, sin fines de lucro y para la comunidad.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s