A MuddyWater é uma APT que surgiu em 2017 e que mantinha o foco principalmente alvos governamentais no Iraque e Arábia Saudita.
Em ataques mais recentes detetados pelos investigadores, o código malicioso foi carregado para o VirusTotal a partir da Turquia, e os atacantes usaram documentos "cobais" que descarregavam um novo backdoor em powershell semelhante ao do malware POWERSTATS da MuddyWater.
O novo backdoor usa a API do provider da cloud de forma a que possa implementar a comunicação para um C&C (Command and Control).
Os documentos contêm imagens com logótipos desfocados que pertencem a algumas organizações governamentais da Turquia. Incitam as vítimas a ativar as macros para mostrarem as propriedades do documento.
Estas macros têm strings codificadas em base52, algo não comum e que foi usado pela MuddyWater. Assim que ativadas, as macros descarregam um ficheiro .dll (com código de Powershell embutido) e um ficheiro .reg para o diretório %temp%.
O código de Powershell tem vários layers de ofuscação, sendo que, primeiro, o backdoor recolhe informação acerca do sistema e concatena diversas peças de informação, como por exemplo o nome do sistema operativo, nome de domínio, username, endereço IP, numa string muito longa.
De forma a poder comunicar, o malware usa ficheiros no formato <md5(hard disk serial number) com várias extensões associadas:
--> .cmd – ficheiro de texto com um comando a executar --> .reg – informação do sistema gerada pela função myinfo() --> .prc – resultado ou output do ficheiro .cmd, armazenado apenas numa máquina local --> .res – resultado ou output do ficheiro executado, armazenado desta vez na cloud
O malware suporta vários comandos, incluindo o upload de ficheiros, remoção persistente, saída, download de ficheiros e execução de comandos.
Mais informações sobre o malware da MuddyWater: https://securelist.com/muddywater/88059/
Mais informações sobre este novo backdoor: https://brica.de/alerts/alert/public/1238666/new-powershell-based-backdoor-points-to-muddywater/
