歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

疑似MuddyWater APT組織針對伊拉克移動運營商攻擊活動分析

來源:本站整理 作者:佚名 時間:2019-03-22 TAG: 我要投稿

近期,360威脅情報中心截獲到一個針對伊拉克移動運營商(Korek Telecom)的定向攻擊樣本。該運營商是伊拉克發展最快的移動公司,服務于伊拉克的18個省份,為企業、政府和個人用戶提供服務。攻擊樣本使用魚叉式釣魚郵件進行投遞:誘導受害者打開附件Office Word文檔,并啟用惡意宏。惡意宏代碼最終會釋放執行PowerShell 后門,從而實現對受害者計算機的遠程控制。360威脅情報中心經過溯源和關聯后發現,該攻擊活動疑似與MuddyWater APT組織相關,并溯源和分析了多個與之相關的惡意樣本。
MuddyWater APT組織可能來自伊朗[1],其相關活動可追溯到2017年初,其主要針對政府機構、通信和石油公司。2017年11月,Palo Alto在對多個攻擊進行關聯分析后,將該組織命名為MuddyWater[2]。進入2018年后,其目標地區不再局限于伊朗和沙特,更是拓展到了亞洲、歐洲和非洲[3],目標性質也涵蓋了軍事實體、教育機構等。
 
樣本分析
釣魚郵件
文件名
missan dashboard.msg
MD5
83c31845c0de88578cf94c9655654795
攻擊者偽裝為公司內部人員,在郵件中提到3月報告有錯誤,并指出在附件中有詳細描述,從而誘使受害者下載并打開附件中的誘餌文檔:

通過收件人郵箱@korektel.com,我們發現該受害者郵箱是伊拉克移動運營商Korek企業郵箱:

考慮到郵件相關內容與公司日常業務有關,因此我們懷疑本次攻擊活動是針對該企業的一次定向攻擊活動。
Dropper
文件名
Missan dashboard.doc
MD5
806ADC79E7EA3BE50EF1D3974A16B7FB
附件中的Office Word文檔含有惡意的宏代碼,通過模糊化文檔背景內容來誘導受害者啟動宏:

一旦受害者啟動宏,惡意宏代碼便會執行,隨后彈出虛假報錯窗口,從而誤導受害者:

惡意宏代碼隱藏在窗體中,猜測是為了增加檢測的難度:

宏代碼將PowerShell啟動腳本寫入注冊表HKEY_CURRENT_USER\Software\Classes\CLSID\{769f9427-3cc6-4b62-be14-2a705115b7ab}\Shell\Manage\command,并在啟動項下寫入數據,當受害者用戶重啟或登錄系統都會執行該PowerShell:

之后將配置文件寫入c:\windows\temp\picture.jpg:

最后釋放c:\windows\temp\icon.ico,該文件用于后續啟動PowerShell進程:

PowerShell
PowerShell經多層混淆以干擾分析人員分析,經處理后的代碼如下:

代碼首先從c:\windows\temp\picture.jpg讀取配置文件,經Base64解碼處理后執行:

第二階段的PowerShell腳本如下:

可見腳本依舊混淆嚴重,經多層解混淆后得到PowerShell后門,該后門為MuddyWater常用的POWERSTATS后門:

POWERSTATS后門
后門在運行時首先獲取計算機系統名、計算機名、用戶名以及IP等信息:

當前計算機公網IP通過訪問icanhazip.com獲取:

將獲取的信息以“**”鏈接,并加密處理:

之后與C2(46.105.84.146)通信,若返回數據為”done”則繼續執行:

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 5元以下股票推荐 水族养什么赚钱 股票指数什么意思 macd赚钱绝招 dnf副职业炼金赚钱 游戏打得好怎么赚钱 梦幻西游新区一医生4天宫赚钱吗 如何利用高档私家车赚钱 坐家里赚钱知乎 春节期间可以怎么赚钱 页面游戏赚钱 蓝金融真能赚钱吗 实体店代购赚钱 微信扫二维码赚钱图片 圣魔之光石赚钱方法 有电脑在家可以做什么赚钱