Для сохранения присутствия на системе группировка использует команды PowerShell и обфусцированный VBA макрос.
Специализирующаяся на кибершпионаже группировка MuddyWater, также известная как SeedWorm и TEMP.Zagros, включила в свой набор техник, тактик и процедур новые методы, позволяющие удаленно получить доступ к зараженным системам и остаться при этом незамеченной.
Впервые о группировке стало известно в 2017 году. Тогда MuddyWater в основном атаковала организации на Ближнем Востоке, однако позже включила в сферу интересов правительственные и оборонные компании в Центральной и Юго-Восточной Азии, а также предприятия в Европе и Северной Америке.
Специалисты команды Cisco Talos проанализировали недавнюю кампанию MuddyWater, получившую название BlackWater, и заметили несколько новых тактик, применяемых группировкой для сокрытия своей деятельности. В частности, злоумышленники использовали обфусцированный VBA макрос, позволявший вредоносному ПО сохранить присутствие на скомпрометированных Windows-машинах, добавляя ключ реестра Run. Вредонос доставлялся на компьютеры жертв через фишинговые письма, для просмотра которых требовалось включить вредоносный макрос, блокировавший возможность просмотра его исходного кода.
Между февралем и мартом 2019 года группировка добавила во вредоносные вложения команды PowerShell для сохранения персистентности на системе и сбора данных об инфицированном компьютере, которые затем отправлялись на подконтрольный злоумышленникам сервер. Злоумышленники использовали скрипт PowerShell для загрузки трояна с C&C-сервера, частично построенного на открытом фреймворке FruityC2.
Собранная информация включалась в URL, что позволяло усложнить обнаружение, а также проводить мониторинг web-логов и определять, когда кто-либо, не связанный с кампанией BlackWater, отправлял запрос на сервер в целях изучить подозрительную активность.
