СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

Атака MuddyWater: RDP-доступ, SSH-туннель и DLL side-loading FMAPP.dll

Компания Huntress опубликовала подробную хронологию целевой операции, приписываемой связанной с Ираном APT‑группировке MuddyWater. Атака демонстрирует сочетание простых векторoв входа и скрытных тактик исполнения кода: начавшись с доступа по протоколу RDP, злоумышленники развернули сложную цепочку действий, включающую создание туннеля SSH и использование техники DLL side-loading для внедрения вредоносной библиотеки FMAPP.dll через легитимное приложение FMAPP.exe от Fortemedia Inc..

Huntress раскрыла подробную хронологию вторжения, атрибутируемую с помощью связанной с Ираном APT‑группировки, MuddyWater.

Ключевые этапы атаки

  • Первичный вектор: получение доступа по RDP.
  • Переход в командную строку: злоумышленник переходит в среду командной строки и применяет цепочку cmd.exe → PowerShell.exe, чтобы сохранить более «чистое» дерево процессов и имитировать легитимную активность.
  • Создание туннеля: разворачивался туннель SSH, обеспечивающий защищённый канал для дальнейших действий.
  • Тайминг операций: между созданием первоначального туннеля и запуском нового сеанса PowerShell наблюдался интервал примерно в три минуты, что указывает на методичную проверку работоспособности туннеля до выполнения вредоносных задач.
  • DLL side-loading: злоумышленники использовали легитимное приложение FMAPP.exe, подменив (или дополнив) поведение загрузкой вредоносной библиотеки FMAPP.dll. Эта библиотека инициализировала связь с сервером командования и контроля (C2).
  • Инфраструктура C2: соединение устанавливалось с IP‑адресом 157.20.182.49. При этом в первые миграции наблюдались затруднения с откликом инфраструктуры C2 — атакующие выполняли проверки состояния FMAPP.dll и доступности C2.
  • Оперативная безопасность злоумышленников: для проверки окружения они подключались к онлайн‑сервису, чтобы узнать собственный публичный IP‑адрес, что указывает на стремление минимизировать слои непреднамеренной компрометации своих каналов управления.

Технический смысл применённых приёмов

  • DLL side-loading позволяет злоумышленнику интегрировать вредоносный код в процесс доверенного приложения, что затрудняет его обнаружение традиционными средствами защиты.
  • Цепочка cmd.exe → PowerShell.exe применяется для маскировки активности под поведение обычного пользователя и уменьшения артефактов в дереве процессов.
  • Использование легитимного ПО (FMAPP.exe) — классическая тактика для обхода белых списков и снижения подозрительности у EDR/AV‑решений.

Поведение и ошибки атакующих

  • Злоумышленники выполняли явные проверки успешности загрузки FMAPP.dll — запускали команды для верификации состояния процесса и подтверждения адреса C2.
  • Наблюдавшиеся проблемы с C2 указывали на тестирование и отладку инфраструктуры в процессе атаки, что даёт признаки методичности, но и потенциальные точки обнаружения для защитников.

Почему это должно беспокоить организации

Операция подчёркивает два опасных тренда: злоумышленники всё чаще используют легитимные приложения для внедрения вредоносного кода, а также комбинируют простые векторы доступа (например, RDP) с хорошо продуманной пост‑эксплуатацией и техникой маскировки (DLL side-loading, цепочки процессов). Это усложняет обнаружение и повышает риск длительного присутствия в сети жертвы.

Рекомендации для защиты

  • Ограничить доступ по RDP: включить многофакторную аутентификацию, применять VPN/бастион и мониторинг аутентификаций.
  • Контролировать загрузку и поведение DLL: выявлять аномалии в загрузке библиотек легитимными процессами, применять механизм проверки подписей и integrity‑контроль.
  • Следить за деревом процессов: коррелировать цепочки cmd.exe → PowerShell.exe и искать подозрительные временные интервалы и повторяющиеся проверки C2.
  • Ограничить исполнение неизвестных или неиспользуемых приложений (FMAPP.exe) через application allowlisting/whitelisting.
  • Фильтрация исходящего трафика и блокировка известных C2‑адресов (например, 157.20.182.49), а также использование IDS/IPS и проксирования исходящих соединений.
  • EDR и логирование: настроить сбор детальных логов PowerShell и сетевой активности, чтобы иметь возможность быстро реконструировать цепочку атак.

Вывод

Раскрытие Huntress подчёркивает, что MuddyWater продолжает применять гибрид техниц — от классического доступа через RDP до изощрённого DLL side-loading — чтобы оставаться скрытной и эффективной. Организациям следует учитывать этот профиль угроз при построении детекции и реагирования: внимание к загрузке DLL, контролю за процессами и сетевым исходящим трафиком может значительно снизить риск успешной кампании такого рода.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: