活跃的APT组织正针对土耳其私人组织和政府展开攻击

安全 黑客攻防
近日,研究人员观察到一项针对土耳其私人组织和政府机构的新活动,并以高置信度将此活动归因于MuddyWater组织。

MuddyWater APT组织又名MERCURY 或 Static Kitten,此前曾被美国网络司令部归因于伊朗情报与安全部(MOIS)。近日,研究人员观察到一项针对土耳其私人组织和政府机构的新活动,并以高置信度将此活动归因于MuddyWater组织。

简况

MuddyWater组织至少从2017 年开始活跃,此前曾针对遍布美国、欧洲、中东和南亚的实体开展了各种活动,包括电信、政府(IT 服务)、石油和航空业领域。攻击者开展的活动旨在实现以下三个结果之一:间谍活动、窃取知识产权、勒索软件攻击。

近日,MuddyWater组织针对土耳其用户开展了一项活动,攻击者在活动中使用恶意 PDF 和 Microsoft Office 文档 (maldocs) 作为初始感染媒介。这些恶意文档被伪装成土耳其卫生和内政部的合法文件。作为攻击的一部分,MuddyWater攻击者使用两个感染链,从传递 PDF 文件开始。在第一种情况下,PDF包含一个嵌入式按键,单击该按钮可获取 XLS 文件。PDF文件如下图:

这些文件是典型的 XLS 文档,带有恶意 VBA 宏,这些宏会启动感染过程并通过创建新的注册表项来建立持久性。基于 PDF 的感染链如下图:

第二个感染链使用 EXE 文件而不是 XLS文件,但仍使用 PowerShell 下载器、VBScript,并添加了一个新的注册表项以实现持久性。感染链图如下:

与旧的活动相比,此活动的一个显著区别是使用canary令牌来跟踪代码执行和邻近系统上的后续感染。

归因

研究人员根据观察到的技术指标、策略、程序和 C2 基础设施将这些攻击活动归因于MuddyWater 组织。此次活动展示了MuddyWater组织破坏目标和执行间谍活动的能力和动机。

责任编辑:赵宁宁 来源: 新浪科技
相关推荐

2021-10-27 13:10:05

HarvesterAPT恶意软件

2020-09-16 10:25:36

恶意软件Linux网络攻击

2020-09-18 11:19:03

恶意软件Linux网络攻击

2020-10-10 10:40:20

APT组织分析

2022-05-10 11:51:42

APT组织网络攻击

2021-04-10 09:56:57

Charming Ki网络钓鱼

2013-09-29 09:49:14

2022-01-21 10:11:04

网络攻击网络安全黑客

2023-05-18 22:46:41

2023-03-02 15:50:35

2023-08-18 11:29:56

2022-05-09 11:54:50

电信巨头T-Mobile网络攻击

2022-08-22 14:31:15

TA558络入侵网络犯罪

2022-06-09 12:23:26

数据泄露网络攻击

2020-10-08 10:11:33

网络攻击ESETAPT

2022-03-18 21:38:59

黑客网络攻击

2014-09-18 10:29:37

APTAPT攻击组织Pitty Tiger

2011-09-06 13:42:51

2022-04-06 18:52:57

网络钓鱼网络攻击网络间谍
点赞
收藏

51CTO技术栈公众号