Esta campanha tem tido como alvos recentes a Ásia e regiões do Médio Oriente.

Os atacantes têm usado documentos equipados normalmente com temas de geopolítica, como referências à Assembleia Nacional do Paquistão (um dos vários exemplos).

Foi em julho do ano passado que os investigadores descobriram documentos Word equipados e scripts em PowerShell que pareciam relacionar-se com esta APT; o payload final seria devolvido durante a campanha e sob a designação de "PRB-BackdoorRAT", controlado por um servidor de comando e controlo no domínio outl00k[.]net.

O objetivo da campanha é a instalação do backdoor em Powershell no computador da vítima e espiá-lo. Primeiro, os atacantes utilizam aplicações em Visual Basic para adicionar uma chave de registo e ganhar, dessa forma, persistência no sistema da vítima. Daí, partem para o "strike" final, que é o lançamento do script em Powershell.

O "stager" faz download do script FruityC2 do servidor de C&C e usa-o para enumerar a máquina infetada.

Outra funcionalidade da capacidade de espiação foi a substituição de strings das amostras mais recentes de forma a fugir à deteção por parte das Yara rules.

Fonte: https://www.sdkhere.com/2019/01/a-new-muddywater-apt-campaign-spreads.html