澳门威尼斯人平台官网

华盟学院山东省第二期线下学习计划

华盟君引言“该 MuddyWater网络间谍小组使用更新的多级PowerShell的后门,最近网络攻击。”

趋势科技的安全专家报告了MuddyWater APT小组(又名  SeedWorm  和  TEMP.Zagros),具有 在最近的网络间谍活动中使用了更新的多阶段PowerShell后门

第一次  MuddyWater  活动是   在2017年底观察到的,当时是中东的目标实体。

由于2017年2月至10月期间针对沙特阿拉伯,伊拉克,以色列,阿拉伯联合酋长国,格鲁吉亚,印度,巴基斯坦,土耳其等地的实体发生的一波攻击事件造成的混乱,专家们称之为“MuddyWater”活动。美国迄今为止。

多年来,该组织通过在其武器库中添加新的攻击技术而不断发展。

2018年3月,FireEye的专家发现了TEMP.Zagros集团在2018年1月至2018年3月期间针对亚洲和中东地区开展的大规模网络钓鱼活动。

威胁者继续发展他们的TTP,几个星期前思科塔洛斯归功于最近发现运动跟踪为“黑水”的  MuddyWater APT  组,并强调新的用法反侦查 技术。

现在,根据趋势科技的说法,APT小组已经更新了其多阶段PowerStats后门,专家们已经观察到针对约旦大学和土耳其政府的鱼叉式网络钓鱼攻击的新变种。

“其中一项活动向约旦大学和土耳其政府发送了鱼叉式网络钓鱼电子邮件。上述合法实体的发件人地址并未欺骗欺骗电子邮件收件人。相反,该系列使用受感染的合法帐户诱骗受害者安装恶意软件。“读取趋势科技发布的分析。

“我们的分析显示威胁演员组部署了一个新的基于PowerShell的多阶段后门,名为POWERSTATS v3。”

浑水 黑客使用一些受损的合法帐户发送包含嵌入恶意宏的文档的鱼叉式网络钓鱼邮件。

MuddyWater电子邮件

该宏用于删除一个VBE文件,该文件包含一个包含模糊PowerShell脚本的数据块。 

数据块将被解码并保存到%PUBLIC%目录,其中包含各种名称和图像文件扩展名,例如.jpeg和.png。攻击者的PowerShell代码实现了自定义字符串混淆和垃圾代码存根,使其难以分析。

一旦所有字符串都是 反混淆,揭示了最后的后门代码。恶意代码后门首先收集操作系统(OS)信息并将结果保存到发送回C&C服务器的日志文件中。

“每台受害者机器都会生成一个随机的GUID号码,用于机器识别。稍后,恶意软件变体将启动无限循环,查询C&C服务器上某个文件夹中的GUID命名文件。“继续分析。“如果找到这样的文件,它将使用Powershell.exeprocess澳门威尼斯人平台网址并执行。”

黑客可以通过向后门发送特定命令来发起第二次攻击。恶意代码还能够安装和执行其他有效负载,包括趋势科技分析的另一个后门,它支持多个命令,例如截取屏幕截图,以及通过cmd.exe二进制文件执行命令。

后门还可以通过“Invoke-Expression”cmdlet执行PowerShell代码。

黑客通过PHP脚本连接到C2,这些脚本具有硬编码令牌和一组后端功能,如  sc  (屏幕截图),  res (执行命令的结果),  reg  (注册新受害者)和  uDel (自我删除后)错误)。

趋势科技观察到MuddyWater组使用的恶意代码的演变,在3月和4月,黑客正在使用严重混淆的POWERSTATS v2,但在5月他们在5月部署了新的/ POWERSTATS v3。 

下表报告了趋势科技在2019年上半年观察到的一些活动以及相关的有效载荷和公开的后期开发工具:

 工具。

发现日期  丢弃恶意代码的方法 删除的文件类型 最终有效载荷
2019-01 可执行程序 SHARPSTATS
2019-01 INF,EXE DELPHSTATS
2019-03 Base64编码,BAT POWERSTATS v2
2019-04 模板注入 带宏的文档 POWERSTATS v1或v2
2019-05 VBE POWERSTATS v3

值得注意的是,MuddyWater攻击者在他们的活动中没有使用零日攻击,无论如何威胁参与者继续发展他们的TTP以避免被发现。

www.idc126.com

“虽然MuddyWater似乎无法访问零日和高级恶意软件变种,但它仍然设法妥协其目标。这可以归因于他们的计划的不断发展。值得注意的是,该组织将电子邮件用作感染媒介似乎为其系列带来了成功,“趋势科技总结道。