FBI, CISA, CNMF & NCSC-UK исследовали поведения APT группировки MuddyWater и обозначили основные вектора атак: spеarphishing, эксплуатация известных уязвимостей и применения различных opensource решений для получения доступа к чувствительной информации жертвы.
MuddyWater используют вредоносные вложения в фишинговых письмах (зачастую это ZIP файлы с Excel, содержащие вредоносные макросы для взаимодействия с их C2 сервером или PDF файл, который подгружает malware в локальную сеть жертвы [
T1566.001,
T1204.002]. Группировка также использует упомянутую ранее технику side-loading DLLs [
T1574.002], которая позволяет запускать легитимное ПО загружаю в него вредоносные библиотеки, таким образом усложняя идентификацию и обфусцированные PowerShell скрипты, а также API Telegram, обфусцкацию трафика + протокол TLS.
В дополнение, группировка использует разные вредоносные сборки, включающие утилиты PowGoop, Small Sieve, Canopy/Starwhale, Mori, и POWERSTATS для подгрузки вредоносного ПО, доступа к бэкдорам, закреплению и эксфильтрации.