MuddyWater 持续瞄准中东发起攻击

安全
2020 年第四季度以来,MuddyWater 一直针对中东国家发起持久的攻击行动。根据最新发现的样本,研究人员认为攻击活动仍处于活跃状态。

2020 年第四季度以来,MuddyWater 一直针对中东国家发起持久的攻击行动。根据最新发现的样本,研究人员认为攻击活动仍处于活跃状态。MuddyWater 被认为是由伊朗革命卫队运营的组织,主要维护伊朗的国家利益。

攻击通常从一个压缩文件开始,文件中包含一个嵌入 VBA 宏代码的恶意 Word 文档。

根据文件内容,可以看出似乎为讲阿语的用户专门设计的。也有一些样本包含英语的通用消息,诱导用户启用宏代码。

image.png-138.8kB

恶意文档样本

image.png-196kB

恶意文档样本

尽管不能明确确定攻击的具体目标,但根据分析攻击针对巴基斯坦、哈萨克斯坦、亚美尼亚、叙利亚、以色列、巴林、土耳其、南非、苏丹等国家。这些国家都被认为是伊朗的利益相关,或者是伊朗在其他地区的发展与战略相关。

宏代码实际上非常简洁,将一个模糊程度不高的 VBS 脚本写入 C:\ProgramData 或 Windows 启动文件夹,文件名为 Temp_[3-5 随机字符].txt。

image.png-291.5kB

恶意 VBA 宏代码

释放的样本是一个小型的 RAT。首先通过 whoami 进行侦察,再结合所属国家信息构建 C&C 通信的 URI。样本中发现的国家代码有:

  • PK -> 巴基斯坦
  • AR -> 阿根廷
  • AM -> 亚美尼亚
  • SY -> 叙利亚
  • IL -> 以色列
  • BH -> 巴林
  • TR -> 土耳其
  • SA -> 沙特
  • SD -> 苏丹
  • KK -> 哈萨克斯坦

image.png-84.3kB

去混淆代码

image.png-64.5kB

去混淆代码

函数在执行 explorer.exe 后再调用一个函数从一个数组中选择一个 IP 地址,如果所选 IP 没有回复将会重新选择。C&C 使用的 HTTP GET 请求结构为:http://{ IP_address }/getCommand?guid={ recon_string }。

image.png-48kB

HTTP GET 请求

没有响应的情况下将轮换下一个 IP 地址。如果有响应则需要去混淆并创建 WScript.Shell 对象来调用函数执行。

image.png-87kB

部分代码

执行结果输出到 TXT 文件中,读取并将其发送回 C&C 服务器。后续使用 HTTP POST 请求,结构如下所示:

image.png-65.6kB

HTTP POST 请求

flag_value实际为状态,在脚本中也是一个初始值为 0 的变量。执行并接收命令回传结果后会将其设置为 1,除此之外没有任何修改。在脚本初始执行 whoami_wrap 时会检查该值,与 126 进行比较,如果解析为 True,则会显示以下提示消息。

image.png-61.5kB

提示消息

样本中唯一实现的就是通过 WMI 获取失陷主机相关信息:

image.png-118.5kB

部分代码

这样一个功能并不完整的样本,在长达两年的时间被多次用于各种攻击。攻击者可能会根据失陷主机的具体情况,再决定是否需要深入下一阶段。

参考来源

Lab52

责任编辑:未丽燕 来源: FreeBuf.com
相关推荐

2021-11-17 22:48:33

黑客网络安全网络攻击

2020-12-30 09:27:06

黑客网络攻击恶意代码

2023-09-20 22:37:18

2021-09-30 09:15:19

Sophosf攻击者ColdFusion

2022-12-12 10:11:47

2019-01-28 08:59:59

2016-03-20 17:31:26

2013-09-11 19:45:20

2013-09-29 09:49:14

2014-06-26 11:33:42

2009-09-07 22:17:41

2020-05-08 09:37:32

网线网络网速

2021-07-19 18:03:51

勒索软件漏洞网络攻击

2021-05-20 05:30:58

网络钓鱼攻击恶意文件

2023-11-22 15:17:54

2024-05-23 15:13:06

2024-01-05 08:58:36

2020-06-08 08:28:40

智能攻击网络钓鱼网络攻击

2021-06-02 10:51:44

勒索软件攻击数据泄露

2021-06-07 05:56:56

JBS勒索攻击勒索软件
点赞
收藏

51CTO技术栈公众号