Campanha atribuída ao grupo iraniano usa documentos Word com macros, persistência por chave Run, coleta de perfil do host e preparação para entrega do POWERSTATS.
| Componente | Documentos Word maliciosos com macros, executáveis Delphi empacotados com UPX, arquivos CiscoAny.exe, CiscoTAP.inf, ID.dat, Info.txt, temp.dat e Lib.ps1. |
| Vetor | Phishing direcionado contra organizações, com documentos isca que tentam induzir o usuário a habilitar conteúdo ativo; o fluxo analisado usa tema em turco relacionado a mudança de lei da Capital Markets Board da Turquia. |
| Impacto | Coleta de identificação do host, processos, memória, tempo ligado, idioma, endereço IP público e outros dados; preparação para execução de conteúdo PowerShell posterior e possível entrega do backdoor POWERSTATS. |
| Prioridade | Bloquear macros não confiáveis, investigar persistência em HKCU\Software\Microsoft\Windows\CurrentVersion\Run, revisar criação de artefatos em %APPDATA% e %TEMP%, e correlacionar tráfego para infraestrutura defangada associada à campanha. |
| Artefatos | Amostra Word SPK KANUN DEĞİŞİKLİĞİ GİB GÖRÜŞÜ.doc, executável CiscoAny.exe, arquivo INF CiscoTAP.inf e hash 2f77ec3dd5a5c8146213fdf6ac2df4a25a542cbd809689a5642954f2097e037a. |
| IoCs | Exemplos defangados incluem googleads.hopto[.]org, 185.117.75[.]116 e infosystema[.]kg/public/images/file_library/2-Merve_Cooperation_CV.doc. |
A campanha associada ao MuddyWater mantém a base operacional observada desde pelo menos 2017: mensagens direcionadas levam documentos de escritório para dentro da organização, e esses documentos dependem da ativação de macros para iniciar a cadeia. O diferencial técnico do caso analisado está no uso de um segundo estágio executável escrito em Delphi, empacotado com UPX e protegido por lógica de anti-análise, em vez de manter todos os estágios intermediários exclusivamente em PowerShell. O objetivo final continua compatível com o histórico do grupo: preparar o ambiente para executar conteúdo PowerShell e potencialmente carregar o POWERSTATS, backdoor conhecido por receber comandos, executar scripts adicionais, manipular arquivos e permitir retirada de dados do sistema comprometido.
O documento inicial observado usa o nome SPK KANUN DEĞİŞİKLİĞİ GİB GÖRÜŞÜ.doc, uma isca em turco relacionada à Capital Markets Board da Turquia. A peça contém macros e apresenta uma mensagem visual destinada a convencer a vítima a habilitar conteúdo ativo. Quando a macro é autorizada pelo usuário, um payload embutido é decodificado e gravado em %APPDATA% como CiscoAny.exe. O nome e metadados do executável tentam sugerir legitimidade associada a ferramenta de rede, mas o comportamento registrado indica instalação, persistência, coleta de informações e comunicação com infraestrutura externa.
A atividade também inclui documentos recentes ligados à mesma campanha e indícios de campanhas paralelas com geradores de macros diferentes. Algumas amostras compartilham nomes de funções, parâmetros, métodos de decodificação e fluxo geral de VBA, enquanto outras usam convenções distintas de nomenclatura. Esse contraste indica que a operação não depende de um único modelo de documento: a infraestrutura de entrega pode variar, mas preserva objetivos semelhantes de execução inicial, coleta do ambiente e preparação para estágios posteriores.
O fluxo começa com e-mail direcionado contendo documento Word preparado para engenharia social. A cadeia não avança automaticamente apenas com a abertura do arquivo; a condição crítica é a habilitação de macros. Após essa ação, o documento extrai conteúdo embutido, grava CiscoAny.exe em %APPDATA% e cria CiscoTAP.inf no mesmo diretório. O INF registra uma entrada de inicialização no escopo do usuário em HKCU\Software\Microsoft\Windows\CurrentVersion\Run, com o nome CiscoAny, apontando para o executável salvo no perfil. A execução do INF é acionada por mecanismo do Windows associado a ieadvpack.dll, mas esse caminho pode falhar em versões do sistema onde a DLL não esteja presente.
A decisão de persistir por chave Run antes de executar o binário imediatamente desloca parte do risco para o próximo logon do usuário. Isso pode reduzir ruído instantâneo, criar atraso entre a interação com o documento e o início efetivo do binário e dificultar a associação direta por equipes que analisam apenas processos filhos do aplicativo de escritório no momento da abertura. Quando o primeiro executável roda, ele gera ID.dat em %APPDATA%, contendo um identificador aleatório de 16 caracteres para a vítima. Em seguida, coleta características do sistema, incluindo nome do host, processos em execução, memória física, tempo de atividade, idioma e endereço IP público obtido por serviço externo.
Os dados coletados são gravados em Info.txt no perfil do usuário. Depois disso, o primeiro executável extrai outro CiscoAny.exe embutido como recurso e o grava em %TEMP%. Esse segundo binário também é Delphi e empacotado com UPX. Ele inicia verificando conectividade com a Internet por uma requisição a domínio legítimo do Google. Se a conexão estiver funcional, copia o conteúdo de Info.txt para um arquivo nomeado com o identificador único da vítima e envia esse arquivo por POST para infraestrutura defangada associada à campanha. O fluxo ainda consulta googleads.hopto[.]org usando o ID da vítima; a resposta é salva como temp.dat, copiada para Lib.ps1 e monitorada pelo executável principal para tentativa de execução do conteúdo recebido.
A etapa PowerShell posterior não foi confirmada por resposta ativa da infraestrutura durante a análise descrita, portanto a entrega do POWERSTATS deve ser tratada como expectativa baseada no histórico operacional do grupo e no desenho da cadeia, não como execução observada nesse caso específico. Ainda assim, a criação de Lib.ps1, a consulta ao controlador e a função de execução recorrente mostram que o estágio Delphi atua como ponte entre o documento macro e um componente PowerShell remoto. A técnica de anti-análise do primeiro executável fragmenta o fluxo de código e calcula dinamicamente o próximo bloco real de execução, o que prejudica análise estática e exige inspeção comportamental e depuração cuidadosa.
A superfície primária envolve estáções Windows de usuários que recebem documentos Office por e-mail e têm permissão para habilitar macros. O caso descrito inclui alvos ou temas relacionados a Belarus, Turquia e Ucrânia, além do histórico do MuddyWater contra países do Oriente Médio, incluindo Arábia Saudita, Emirados Árabes Unidos e Turquia. A campanha depende de confiança do usuário no documento isca, do suporte do ambiente à execução de macros e da possibilidade de escrita em diretórios de perfil como %APPDATA% e %TEMP%.
O abuso de documentos legítimos roubados de sistemas comprometidos aumenta a exposição de organizações que tratam anexos internos ou parceiros externos como automaticamente confiáveis. O padrão descrito inclui obtenção de documentos de uma organização já comprometida, alteração desses arquivos com conteúdo malicioso e redistribuição para novas vítimas. Isso reduz a eficácia de validações superficiais baseadas apenas em aparência do documento, logotipos ou tema corporativo. A presença de mensagens em idioma local, como a isca em turco, também mostra adaptação para aumentar credibilidade diante de públicos específicos.
- Estáções Windows com Microsoft Office e política permissiva para macros em documentos recebidos por e-mail.
- Perfis de usuário onde o malware pode gravar em
%APPDATA%e%TEMP%sem privilégio administrativo. - Ambientes em que persistência por
HKCU\Software\Microsoft\Windows\CurrentVersion\Runnão é monitorada ou bloqueada. - Organizações que trocam documentos com parceiros e podem receber arquivos reutilizados de uma entidade previamente comprometida.
A investigação deve começar no endpoint, correlacionando processos do Office com criação de arquivos em diretórios de perfil. O encadeamento de maior valor é a abertura de documento Word seguida por gravação de CiscoAny.exe, criação de CiscoTAP.inf, alteração de chave Run em HKCU e, posteriormente, execução de binário localizado em %APPDATA% ou %TEMP%. Mesmo quando o binário só roda no próximo logon, a telemetria de registro e criação de arquivo preserva sinais suficientes para remontar a sequência.
No disco, os arquivos ID.dat, Info.txt, temp.dat e Lib.ps1 são artefatos importantes porque representam identificação da vítima, perfil do host, resposta do controlador e conteúdo PowerShell preparado para execução. A presença desses nomes em %APPDATA% deve ser investigada junto com metadados de tempo, usuário logado, documento aberto antes da criação e conexões de rede no mesmo intervalo. Em rede, a defesa deve procurar requisições para infraestrutura defangada, POST de arquivos pequenos contendo inventário do host e consultas que transportem identificador de vítima. A consulta a serviço externo para descobrir IP público também pode aparecer próxima da coleta de informações locais.
A análise de documentos suspeitos deve priorizar grafos de chamadas VBA, strings únicas, funções de decodificação e nomes de rotina compartilhados entre amostras. A função UFYYRJSFHX aparece como elo entre documentos relacionados, enquanto outras amostras usam nomes como F38HUYFLSF985HFUISHS, SSSDS98746GB ou convenções com quatro letras minúsculas. Esses padrões ajudam a agrupar campanhas sem depender apenas de hash. Hashes são úteis para confirmação pontual, mas a operação descrita mostra variação suficiente para exigir detecção comportamental e análise estrutural de macros.
- Criação de
CiscoAny.exeem%APPDATA%ou%TEMP%após abertura de documento Word. - Entrada
CiscoAnycriada emHKCU\Software\Microsoft\Windows\CurrentVersion\Run. - Arquivos
ID.dat,Info.txt,temp.dateLib.ps1no perfil do usuário. - Requisições para
googleads.hopto[.]org,185.117.75[.]116ou caminhos relacionados a documentos de campanha. - Macros com rotinas de decodificação similares, nomes de funções incomuns e gravação de payload embutido no sistema de arquivos.
A resposta defensiva deve tratar a cadeia como uma combinação de phishing, abuso de macro, persistência local e preparação para backdoor. O primeiro controle é reduzir a chance de execução inicial: bloquear macros de documentos provenientes da Internet, impor visualização protegida, restringir execução de conteúdo ativo por política e aplicar treinamento específico sobre documentos que pedem habilitação de conteúdo. Como a campanha usa temas localizados e documentos visualmente plausíveis, a análise deve ir além do texto da isca e considerar origem do anexo, histórico do remetente, reputação do arquivo e comportamento em sandbox.
Em hosts possivelmente afetados, a contenção deve preservar artefatos antes de remoção ampla. É necessário coletar o documento original, os binários CiscoAny.exe, o INF, os arquivos de perfil e eventos de registro relacionados à chave Run. Também é importante verificar se Lib.ps1 contém conteúdo recebido da infraestrutura e se houve execução por interpretador PowerShell. Caso o arquivo exista, seu conteúdo deve ser analisado em ambiente controlado, sem execução direta. A ausência de resposta do controlador em um momento específico não elimina a possibilidade de outro host ter recebido estágio posterior.
Depois da contenção, a validação precisa cobrir identidade, endpoint e rede. Remover a chave Run e os arquivos associados interrompe a persistência local conhecida, mas a organização deve investigar a origem do documento, possíveis e-mails semelhantes, destinatários internos, documentos legítimos reutilizados e qualquer saída de inventário do host. Se houver indicação de que documentos internos foram roubados e reaproveitados como isca, o incidente deve ser ampliado para busca de comprometimento anterior. A mitigação efetiva depende de bloquear o vetor de macro, impedir persistência em perfil de usuário, detectar comunicação com controlador e impedir que scripts PowerShell recebidos sejam executados sem controle.
- Bloquear ou restringir macros em documentos recebidos de fora da organização, especialmente quando marcados pela zona da Internet.
- Criar detecção para gravação de executáveis e arquivos INF em
%APPDATA%seguida de alteração em chave Run de HKCU. - Monitorar criação e execução de
Lib.ps1em diretórios de perfil, com atenção a processos ancestrais ligados a Office ou binários recém-criados. - Isolar hosts com artefatos confirmados, coletar evidências e impedir comunicação com domínios e endereços defangados associados à campanha.
- Revisar caixas de e-mail, anexos correlatos e documentos compartilhados para identificar redistribuição de arquivos legítimos transformados em isca.
0 Comentários