當前位置:
首頁 > 新聞 > 疑似MuddyWater最新攻擊活動分析

疑似MuddyWater最新攻擊活動分析

新聞 01-28

簡介


MuddyWater是疑似來自伊朗的APT組織,主要攻擊目標為中東地區政府機構,但在近期的公開報告中顯示,18年後,中東以外的地區也陸續出現了Muddywater的活動跡象,比如土耳其,巴基斯坦等地。


該組織最早於2017年9月被MalwareBytes公開披露,同年11月paloalto披露針對中東的攻擊,並將該組織命名為MuddyWater,之後活動蹤跡開始被國內外安全機構公開披露,詳情請看參考鏈接。


MuddyWater使用誘惑性的魚叉文檔作為攻擊入口,引導用戶啟用宏,利用宏釋放後續後續Pyload進行攻擊,在早期報道中,MuddyWater主要使用powershell後門。最近卡巴稱已發現有VBS,VBA, PowerShell, VBS, VBA, Python,c#等腳本後門以及RAT木馬。

簡單TTP


根據公開情報,繪製MuddyWater簡單TTP如下:

























項目類型 內容
組織名稱 MuddyWater
攻擊目標 中東政府機構,土耳其,巴基斯坦等
曝光時間 2017年9月國外安全公司MalwareBttes披露,11月paloalto正式命名為MuddyWater。
攻擊平台 PC
攻擊入口 魚叉郵件,主要是帶宏的office文檔
惡意代碼實現 主要以powershell後門為主

樣本分析


前幾日,360威脅情報中心披露疑似MuddyWater的新攻擊樣本



到目前還沒有該樣本的具體分析報告,所以筆者在網上找到了該樣本並予以分析。


樣本信息


2-Merve_Cooperation_CV.doc樣本名稱:2-Merve_Cooperation_CV.doc


樣本MD5:8899c0dac9f6bb73ce750ae7b3250dbd

樣本來源:公開網路來源


分析環境


調試工具:dnspy


分析環境:win7 32 虛擬機


樣本分析


2-Merve_Cooperation_CV.doc


與MuddyWater之前的樣本類似,該樣本也是宏利用樣本,並帶有模糊的圖片,不過似乎該樣本在編寫時有些問題,導致無法運行,會顯示宏編譯過程過大,無法運行。



這兒筆者直接將宏拷貝出來,靜態分析,由於樣本無法進行調試,筆者只能猜測大概行為,看這個lki數組有大量數據,猜測是會執行該段數據。


經分析發現,該段數據以50 4B開頭,正好是壓縮包的頭,故將數組數據保存,用7z解壓,得到如下所示文件



GoogleUpdate.exe


該可執行文件是一個c#後門,後續主要功能已包括,所以主要分析該文件


在%appdata%目錄下創建WindowsMicrosoftFrameWork4目錄



獲取計算機用戶名,磁碟虛擬號,經base64編碼後,把編碼後的數據去除「=」「+」生成受害者唯一id



之後開始進入死循環上線流程


首先通過google檢測網路的連接性



之後從temp_gh_12.dat讀取解碼出網路地址,從該地址下獲取之後的c2



之後以」c2?root=隨機字元」 形式連接獲取字元串,若從c2獲取的字元與硬編碼的」wYbaej5avYrFb」相等,則將該c2作為後續c2



解碼執行執行一段powershell代碼獲取計算機用戶,用戶所在的組,已安裝應用,ip等信息



獲取計算機id,用戶名,ip等信息,base64加密後保存到%appdata%WindowsMicrosoftFrameWork4id_bW1fRDIyM0I1QjI」中,並將該文件上傳到c2


若c2返回為true,則退出第一輪上線死循環,進入後續命令分發死循環中



該樣本只支持上傳文件,下載文件兩種功能



IOC


https://www.jsonstore.io/4de4d6d84d17638b3cd0eaf18857784aff27501be7d3dd89fad2b7ac2134f52e「


http://shopcloths.ddns.net/users.php?


http://getgooogle.hopto.org/users.php?



雖然這次宏利用樣本後續是c#後門,不是MudddyWater常用的powershell後門,但根據其宏代碼,以及誘餌文檔內容等都與MuddyWater手法類似,且360威脅情報中心都披露了,那應該是沒跑了。以下是一些與MuddyWater相似的代碼

設置啟動項:


宏代碼:



總結


近年來,威脅情報越發的火爆,各類APT組織也陸續被國內外安全廠商披露,MuddyWater作為17年就被披露的組織,非但沒有停止攻擊,反而越發的動作頻繁,從最初的針對中東地區,到現在的各個地區都出現了該組織的活動跡象,且該組織似乎異常高調,在卡巴斯基的年度報告下,muddywater似乎嫌卡巴將其排名放在後面,還在報告下評論,如下圖所示


參考:


https://www.freebuf.com/articles/web/165061.html


https://www.colabug.com/4902862.html


https://securelist.com/muddywater/88059/


*本文作者:fuckgod,本文屬 FreeBuf原創獎勵計劃,未經許可禁止轉載。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

我的信息搜集之道
WordPress插件WooCommerce任意文件刪除漏洞分析

TAG:FreeBuf |