Íránská skupina pokročilých perzistentních hrozeb (APT) známá jako MuddyWater byla spojena s novou špionážní kampaní, která využívá techniku DLL side-loading k nasazení škodlivého softwaru na systémy obětí v devíti různých zemích.

Tato skupina, sledovaná také pod označeními Earth Vetala, MERCURY, Seedworm a Static Kitten, je přičítána íránskému ministerstvu zpravodajství a bezpečnosti (MOIS). Útočníci jsou aktivní nejméně od roku 2017 a tradičně se zaměřují na organizace na Blízkém východě, v Asii a v Evropě.

Nejnovější kampaň odhalená výzkumníky v oblasti kybernetické bezpečnosti ukazuje, že skupina MuddyWater přijala sofistikovanější přístup k průniku do cílových systémů. Útočníci zneužívají legitimní a důvěryhodné spustitelné soubory k načítání škodlivých DLL knihoven – technika označovaná jako DLL side-loading.

Geografický záběr kampaně zahrnuje zejména oblasti Blízkého východu, přičemž útoky zasáhly i organizace v jiných částech světa.

Technické podrobnosti

Výzkumníci identifikovali, že MuddyWater při svých operacích kombinuje veřejně dostupné nástroje s vlastními škodlivými komponentami. Skupina nadále využívá nástroje pro vzdálený monitoring a správu (RMM), jako je Atera Agent nebo Screen Connect, k maskování svých aktivit jako legitimního provozu.

Technika DLL side-loading spočívá v umístění škodlivé DLL knihovny do adresáře, kde ji legitimní aplikace automaticky načte namísto původní systémové knihovny. Tímto způsobem je škodlivý kód spuštěn v kontextu důvěryhodné aplikace, čímž se výrazně snižuje pravděpodobnost jeho odhalení bezpečnostními nástroji.

Skupina MuddyWater nadále představuje závažnou hrozbu pro organizace po celém světě a její schopnosti se průběžně rozvíjejí a zdokonalují, což vyžaduje neustálou ostražitost ze strany bezpečnostních týmů.

Zdroj: thehackernews.com