MuddyWater wykorzystuje DLL side-loading w kampanii cyberszpiegowskiej obejmującej dziewięć państw - Security Bez Tabu

MuddyWater wykorzystuje DLL side-loading w kampanii cyberszpiegowskiej obejmującej dziewięć państw

Cybersecurity news

Wprowadzenie do problemu / definicja

DLL side-loading to technika polegająca na uruchomieniu złośliwego kodu za pośrednictwem legalnego, podpisanego pliku wykonywalnego, który ładuje podstawioną bibliotekę DLL z lokalizacji kontrolowanej przez napastnika. Dzięki temu malware działa pod przykryciem zaufanego procesu, co utrudnia wykrycie przez systemy ochronne bazujące na reputacji plików, sygnaturach oraz uproszczonej analizie procesów.

Najnowsza kampania przypisywana grupie MuddyWater pokazuje, że metoda ta pozostaje skutecznym narzędziem cyberszpiegostwa. Operacja miała objąć organizacje z wielu sektorów i regionów świata, a jej celem było uzyskanie trwałego dostępu, rozpoznanie środowiska oraz przejęcie wrażliwych danych.

W skrócie

Według ujawnionych analiz, w pierwszym kwartale 2026 roku MuddyWater prowadziła działania wymierzone w co najmniej dziewięć organizacji z dziewięciu krajów na czterech kontynentach. Wśród celów znalazły się podmioty z branży produkcyjnej, elektronicznej, edukacyjnej, finansowej, publicznej oraz usług profesjonalnych.

  • Atakujący wykorzystywali podpisane binaria fmapp.exe oraz sentinelmemoryscanner.exe.
  • Kluczowym elementem łańcucha ataku było boczne ładowanie złośliwych bibliotek DLL.
  • W kampanii użyto także skryptów Node.js i PowerShell do rekonesansu oraz wykonywania dalszych działań.
  • Implanty umożliwiały kradzież danych z przeglądarek Chromium, zrzuty ekranu, eskalację uprawnień i utrzymywanie dostępu.

Kontekst / historia

MuddyWater od lat jest kojarzona z operacjami cyberszpiegowskimi nastawionymi na długotrwałe utrzymanie obecności w sieciach ofiar, zbieranie informacji oraz dyskretne poruszanie się po infrastrukturze. W tej kampanii widoczna jest kontynuacja takiego modelu działania, ale również jego wyraźne dopracowanie.

Zamiast głośnych technik generujących dużą liczbę alertów, grupa wykorzystuje legalne komponenty, etapuje działania i ponownie uruchamia implanty w celu podtrzymywania trwałości. Jest to podejście dobrze wpisujące się w operacje wywiadowcze, w których kluczowa jest cierpliwość, niski profil aktywności i ograniczanie śladów.

Wcześniejsze analizy także wskazywały na wykorzystanie zestawu fmapp.exe i fmapp.dll. Obecnie obserwowany wariant pokazuje jednak rozszerzenie tego modelu o dodatkowe binaria, skrypty pośredniczące oraz bardziej uporządkowany łańcuch po uzyskaniu dostępu do systemu. Szczególnie istotny jest przypadek dużego producenta elektroniki z Korei Południowej, gdzie intruzi mieli utrzymywać się w sieci przez około tydzień.

Analiza techniczna

Rdzeniem kampanii jest nadużycie zaufanych, podpisanych plików wykonywalnych do załadowania złośliwych bibliotek DLL. W jednym wariancie wykorzystywany był plik fmapp.exe, który ładował spreparowaną bibliotekę fmapp.dll. W drugim wariancie użyto sentinelmemoryscanner.exe, który uruchamiał złośliwy moduł sentinelagentcore.dll.

Taki mechanizm sprawia, że kod wykonywany jest w kontekście procesu wyglądającego na legalny. Z perspektywy obrony oznacza to niższą skuteczność części klasycznych mechanizmów antywirusowych oraz utrudnienia dla analityków SOC, którzy mogą początkowo uznać proces za nieszkodliwy.

Złośliwe biblioteki zawierały komponent oparty na narzędziu ChromElevator, używanym do pozyskiwania haseł, ciasteczek sesyjnych oraz danych kart płatniczych z przeglądarek opartych na Chromium. To ważny element całej operacji, ponieważ przejęcie cookies i sekretów aplikacyjnych może umożliwić napastnikom dostęp do usług webowych i chmurowych bez konieczności natychmiastowego przełamywania wszystkich mechanizmów MFA.

Łańcuch infekcji nie kończył się jednak na samym DLL side-loadingu. Atakujący wykorzystywali skrypty Node.js do uruchamiania poleceń PowerShell odpowiedzialnych za rozpoznanie środowiska i zbieranie danych o systemie. W praktyce implanty miały realizować wiele zadań operacyjnych.

  • Enumerację systemu, kont i zasobów.
  • Wykonywanie zrzutów ekranu.
  • Kradzież danych z rejestru i plików systemowych, w tym artefaktów związanych z bazą SAM.
  • Próby eskalacji uprawnień.
  • Tworzenie tuneli SOCKS5 do pośredniczenia ruchu.
  • Przygotowanie środowiska pod ruch boczny i dalszą eksfiltrację.

W części incydentów skradzione dane były tymczasowo przechowywane w publicznych usługach transferu plików. Taka metoda ogranicza potrzebę utrzymywania stale aktywnej komunikacji z infrastrukturą dowodzenia i kontroli, a jednocześnie może utrudniać korelację ruchu sieciowego. Charakterystyczne było również ponowne uruchamianie wykorzystanych binariów i skryptów, co wskazuje na model pracy oparty na trwałych implantach, a nie wyłącznie na ciągłej aktywności operatora.

Na poziomie detekcji szczególnie interesujące jest użycie binarium powiązanego z oprogramowaniem bezpieczeństwa. Taki zabieg działa zarówno technicznie, jak i psychologicznie: proces przypominający element znanego produktu ochronnego może zostać zignorowany, zaniżony w priorytecie lub błędnie uznany za część normalnej aktywności systemu.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem tego typu kampanii jest długotrwała, trudna do wykrycia obecność przeciwnika w środowisku ofiary. Jeśli napastnicy uzyskają dostęp do haseł, ciasteczek, sekretów aplikacyjnych i danych lokalnych z przeglądarek, mogą przejąć kontrolę nad znacznie większą częścią infrastruktury niż tylko nad pojedynczą stacją roboczą.

  • Przejmowanie sesji do usług chmurowych i paneli administracyjnych.
  • Omijanie części zabezpieczeń opartych na pojedynczym logowaniu i aktywnych sesjach.
  • Ruch boczny między segmentami sieci.
  • Budowanie dodatkowych kanałów dostępu przez tunele i proxy.
  • Pozyskiwanie danych operacyjnych, handlowych i technologicznych.

Ryzyko jest szczególnie wysokie dla organizacji przemysłowych, producentów elektroniki, instytucji publicznych oraz podmiotów finansowych. W takich środowiskach wartość informacji wywiadowczych jest bardzo duża, a pozornie niewielkie naruszenie może szybko doprowadzić do kompromitacji kont uprzywilejowanych, usług krytycznych lub danych biznesowych.

Niebezpieczeństwo wynika również z tego, że DLL side-loading często wykorzystuje dozwolone aplikacje i ścieżki wykonywania. Jeżeli dodatkowo dochodzi do kradzieży poświadczeń lokalnych i domenowych, incydent może eskalować od pojedynczego hosta do przejęcia większego segmentu infrastruktury.

Rekomendacje

Organizacje powinny rozwijać detekcję opartą na zachowaniu procesów, a nie tylko na ich nazwie, podpisie cyfrowym czy reputacji. Sam fakt, że proces jest podpisany i wygląda wiarygodnie, nie powinien być traktowany jako wystarczający dowód bezpieczeństwa.

W praktyce warto wdrożyć następujące działania ochronne i detekcyjne:

  • Blokować lub ograniczać wykonywanie nieautoryzowanych binariów z katalogów użytkownika i lokalizacji tymczasowych.
  • Monitorować zdarzenia image load dla procesów wysokiego ryzyka oraz wykrywać odchylenia od standardowego zestawu ładowanych bibliotek.
  • Analizować łańcuchy procesów obejmujące PowerShell, Node.js i procesy potomne uruchamiane przez legalne aplikacje użytkowe.
  • Ograniczać możliwość przechowywania i odczytu wrażliwych danych z przeglądarek na stacjach o podwyższonym ryzyku.
  • Segmentować sieć i utrudniać ruch boczny przez kontrolę SMB, RDP oraz komunikacji administracyjnej.
  • Monitorować ruch wychodzący do usług transferu plików i innych kanałów mogących służyć do etapowej eksfiltracji.
  • Prowadzić threat hunting ukierunkowany na biblioteki o nazwach zgodnych z legalnymi komponentami, ale zapisane poza standardowymi ścieżkami instalacyjnymi.
  • Rotować poświadczenia i unieważniać aktywne sesje po stwierdzeniu możliwej kradzieży danych z przeglądarek.
  • Wzmacniać telemetrię EDR o analizę modułów ładowanych do procesów podpisanych cyfrowo.
  • Utrzymywać procedury reagowania obejmujące analizę pamięci, artefaktów PowerShell, usług i zadań odpowiedzialnych za trwałość.

W środowiskach wysokiego ryzyka warto dodatkowo rozważyć allowlisting aplikacji oraz bardziej rygorystyczny audyt procesów, które wyglądają na zaufane, ale działają poza przewidywanym kontekstem biznesowym. Coraz większego znaczenia nabiera też centralne monitorowanie artefaktów związanych z kradzieżą danych z przeglądarek i eksportem cookies.

Podsumowanie

Kampania przypisywana MuddyWater potwierdza, że skuteczne operacje cyberszpiegowskie nie wymagają wyłącznie nowych exploitów ani wyjątkowo zaawansowanego malware. Wystarczy odpowiednio dobrany zestaw technik: legalne binaria, DLL side-loading, skrypty Node.js i PowerShell, kradzież danych z przeglądarek oraz ostrożne utrzymywanie dostępu.

Dla zespołów bezpieczeństwa najważniejsza lekcja jest prosta: legalny proces nie zawsze oznacza bezpieczny proces. Skuteczna obrona wymaga analizy pełnego łańcucha wykonania, bibliotek ładowanych do pamięci oraz rzeczywistego kontekstu, w jakim uruchamiane są aplikacje.

Źródła

  1. https://thehackernews.com/2026/05/muddywater-uses-dll-side-loading-in.html
  2. https://www.group-ib.com/blog/muddywater-operation-olalampo/
  3. https://www.huntress.com/blog/muddywater-attack-chain
  4. https://issues.chromium.org/issues/353746890