Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Operacje prowadzone przez grupy APT coraz częściej mają charakter długotrwałego cyberwywiadu, a nie jednorazowego sabotażu. Zamiast widowiskowych ataków przestępcy stawiają na dyskretne utrzymanie dostępu, rozpoznanie środowiska, kradzież poświadczeń oraz przejmowanie wrażliwych danych.
Najnowsza kampania przypisywana irańskiej grupie MuddyWater, znanej również jako Seedworm, wpisuje się właśnie w ten model działania. Jednym z celów miał być duży producent elektroniki z Korei Południowej, co pokazuje, że zagrożenie dotyczy nie tylko administracji publicznej, ale również firm technologicznych i przemysłowych o strategicznym znaczeniu.
W skrócie
- Kampania została przypisana grupie MuddyWater i miała charakter cyberwywiadowczy.
- Wśród ofiar znalazły się organizacje z różnych sektorów, w tym duży producent elektroniki z Korei Południowej.
- Atakujący wykorzystywali DLL sideloading, PowerShell, komponenty Node.js oraz legalne, podpisane pliki binarne.
- Celem operacji było rozpoznanie środowiska, kradzież poświadczeń, utrzymanie persystencji i eksfiltracja danych.
- Atak pokazuje rosnące znaczenie detekcji behawioralnej i monitorowania nadużyć legalnych narzędzi systemowych.
Kontekst / historia
MuddyWater od lat jest łączona z operacjami szpiegowskimi wymierzonymi w podmioty rządowe, przemysłowe i infrastrukturalne. Grupa zyskała rozpoznawalność dzięki intensywnemu użyciu PowerShell, technik living-off-the-land oraz infrastruktury, która pozwala ograniczać ślady i utrudniać atrybucję.
W opisywanej kampanii celem miało paść co najmniej kilka organizacji z różnych państw i branż. Taki dobór ofiar wskazuje na motywację wywiadowczą oraz zainteresowanie informacjami o wysokiej wartości operacyjnej, w tym danymi przemysłowymi, dokumentacją techniczną, informacjami rządowymi oraz dostępem do partnerów biznesowych.
W przypadku południowokoreańskiego producenta elektroniki obecność atakujących w środowisku miała trwać około tygodnia w lutym 2026 roku. To wystarczająco długo, by przeprowadzić skuteczny rekonesans, zebrać dane uwierzytelniające i przygotować kanały dalszej eksfiltracji.
Analiza techniczna
Jednym z kluczowych elementów operacji była technika DLL sideloading. Polega ona na uruchomieniu legalnego, często podpisanego programu, który ładuje podstawioną przez napastnika bibliotekę DLL. Dzięki temu złośliwy kod działa pod przykryciem zaufanego procesu, co znacząco utrudnia wykrycie.
W tej kampanii wykorzystywano legalne komponenty powiązane między innymi z oprogramowaniem audio Fortemedia oraz narzędziami związanymi z SentinelOne. Do tych procesów dołączano złośliwe biblioteki DLL, które uruchamiały kolejne etapy łańcucha infekcji, w tym narzędzia służące do kradzieży danych z przeglądarek opartych na Chromium.
We wczesnej fazie ataku operatorzy prowadzili rozpoznanie hostów i domeny, identyfikowali rozwiązania ochronne przy użyciu WMI, wykonywali zrzuty ekranu i pobierali dalsze ładunki malware. Taki zestaw działań wskazuje na dobrze zaplanowaną fazę przygotowawczą, nastawioną na zdobycie wiedzy o środowisku i jego mechanizmach obronnych.
Kolejnym etapem była kradzież poświadczeń. W tym celu wykorzystywano fałszywe monity systemu Windows, dostęp do gałęzi rejestru SAM, SECURITY i SYSTEM, a także narzędzia wspierające nadużywanie biletów Kerberos. Tego rodzaju aktywność sugeruje próbę uzyskania zarówno poświadczeń lokalnych, jak i domenowych, co zwiększa możliwości ruchu lateralnego.
Do utrzymania dostępu atakujący stosowali modyfikacje rejestru i cykliczne uruchamianie sideloadowanych komponentów. Opisany beaconing w odstępach około 90 sekund wskazuje na obecność implantu komunikującego się regularnie z infrastrukturą operatora i działającego w sposób częściowo zautomatyzowany.
Istotną rolę odgrywał także PowerShell, wykorzystywany do rekonesansu, wykonywania screenshotów, pobierania kolejnych elementów malware, ustanawiania persystencji, kradzieży danych uwierzytelniających oraz tworzenia tuneli SOCKS5. Badacze zwrócili też uwagę na użycie loaderów opartych na Node.js, co pokazuje ewolucję warsztatu technicznego grupy.
Na etapie eksfiltracji danych operatorzy mieli korzystać z publicznych usług udostępniania plików. Z perspektywy obrońców to szczególnie problematyczne, ponieważ taki ruch może przypominać zwykłą aktywność użytkowników i nie wzbudzać natychmiastowych alertów.
Konsekwencje / ryzyko
Dla producenta elektroniki skutki takiego incydentu mogą być bardzo poważne. Zagrożone są projekty urządzeń, dokumentacja techniczna, dane badań i rozwoju, informacje o łańcuchu dostaw, a także dane dostępowe do systemów partnerów i klientów.
Ryzyko nie kończy się jednak na samej kradzieży danych. Organizacja tego typu może zostać wykorzystana jako punkt wejścia do dalszych ataków na spółki zależne, dostawców, odbiorców i inne podmioty powiązane biznesowo. W praktyce oznacza to możliwość rozszerzenia operacji na cały ekosystem firmy.
Szczególnie niebezpieczne jest użycie legalnych plików wykonywalnych, skryptów administracyjnych i usług internetowych. Tego rodzaju techniki obniżają skuteczność klasycznych narzędzi bezpieczeństwa opartych głównie na sygnaturach i wymuszają większy nacisk na analizę zachowań, korelację telemetrii oraz monitorowanie relacji między procesami.
Dodatkowo kompromitacja poświadczeń oraz nadużycia związane z Kerberos mogą umożliwić atakującym długotrwałe utrzymanie dostępu i poruszanie się po środowisku nawet po częściowym oczyszczeniu pojedynczych systemów.
Rekomendacje
Organizacje powinny zwiększyć widoczność technik DLL sideloading, zwłaszcza w przypadkach, gdy podpisane procesy ładują biblioteki DLL z nietypowych lokalizacji. Warto wdrożyć reguły korelujące uruchomienia zaufanych binariów z obecnością nieoczekiwanych plików w katalogach aplikacji.
Niezbędne jest także ograniczenie i ścisłe monitorowanie użycia PowerShell oraz innych interpreterów skryptowych. Kluczowe znaczenie ma pełne logowanie poleceń, wykrywanie pobierania payloadów, zrzutów ekranu, działań na rejestrze oraz prób zestawiania tuneli sieciowych.
W obszarze tożsamości należy wzmocnić ochronę kont uprzywilejowanych, wdrożyć MFA, segmentować uprawnienia administracyjne i monitorować dostęp do hive’ów SAM, SECURITY oraz SYSTEM. Dodatkowo warto śledzić anomalie związane z Kerberos, w tym nietypowe użycie biletów i podejrzane wzorce uwierzytelniania.
Po stronie EDR i XDR warto rozwijać detekcję obejmującą:
- uruchamianie legalnych procesów z niestandardowych ścieżek,
- nietypowe relacje parent-child wskazujące na uruchamianie PowerShell lub Node.js,
- modyfikacje kluczy rejestru odpowiedzialnych za persystencję,
- regularny beaconing do rzadko obserwowanych usług,
- tworzenie tuneli SOCKS i inne oznaki aktywności post-exploitation.
Z perspektywy reagowania na incydenty konieczne jest przygotowanie procedur threat huntingu obejmujących analizę pamięci, historii uruchomień procesów, zadań harmonogramu, kluczy Run i RunOnce, logów PowerShell oraz śladów transferu danych do usług publicznych i chmurowych.
Podsumowanie
Kampania przypisywana MuddyWater pokazuje, że współczesne operacje APT coraz częściej opierają się na cichej infiltracji, długotrwałej obecności i systematycznej kradzieży informacji. Atak na producenta elektroniki z Korei Południowej wyróżnia się połączeniem klasycznych technik rekonesansu z bardziej zaawansowanym wykorzystaniem legalnych narzędzi, DLL sideloadingu oraz publicznych usług internetowych.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że skuteczna obrona nie może ograniczać się do samej ochrony endpointów. Kluczowe stają się widoczność w warstwie tożsamości, analiza zachowań procesów i skryptów, monitoring ruchu sieciowego oraz szybkie działania huntingowe ukierunkowane na nadużycia legalnych komponentów systemowych.
Źródła
- https://www.bleepingcomputer.com/news/security/iranian-hackers-targeted-major-south-korean-electronics-maker/
- https://symantec-enterprise-blogs.security.com/
- https://attack.mitre.org/techniques/T1574/002/
- https://attack.mitre.org/techniques/T1059/001/
- https://attack.mitre.org/techniques/T1003/