卡巴斯基实验室研究人员一直对Muddy Water的活动情况进行监控。这是一种最早在2017年发现的针对伊拉克和沙特阿拉伯目标进行攻击的高级威胁组织。
卡巴斯基实验室研究人员一直对Muddy Water的活动情况进行监控。这是一种最早在2017年发现的针对伊拉克和沙特阿拉伯目标进行攻击的高级威胁组织。除了这些最初的攻击目标外,我们还发现该威胁组织还对约旦、土耳其、阿塞拜疆、巴基斯坦和阿富汗的政府机构和组织实施过大规模攻击行动。这种恶意软件通过一种高度个人化的鱼叉钓鱼攻击活动来传播,利用office文档传播,并要求用户启用其中的嵌入式宏。目前攻击仍在进行。.
Muddy Water是一种相对较新的威胁组织,在2017年对伊拉克和沙特阿拉伯的政府目标进行的攻击行动中被发现。今年早些时候,卡巴斯基实验室研究人员发现了一系列持续不断的来自该威胁组织的鱼叉式网络钓鱼邮件,其目标范围远远超过该威胁组织之前的攻击范围。这些攻击行动在2018年5月和6月达到高峰,目前仍在继续。
这些鱼叉钓鱼邮件的内容显示器主要攻击目标是政府和军事组织、电信公司和教育机构。这些邮件包含一个MS Office 97-2003文件附件,一旦用户开启其中的宏,感染就会被激活。
卡巴斯基实验室的研究人员分析了攻击的第一阶段,并将研究发现公布,以帮助该地区的目标来保护自己。调查继续进入攻击者的PowerShell、VBS、VBA、Python和C#脚本,工具和RAT(远程访问木马)等工具。
一旦感染被激活,恶意软件会从嵌入的列表中选取一个随机的URL来与其命令服务器建立联系。在受感染系统上扫描是否安装安全软件后,恶意软件会在受害者计算机释放多个脚本,最终的PowerShell有效负载建立了基本的后门功能和破坏性功能(删除文件的能力)。使用合法的MS文件,意味着恶意软件可以绕过黑名单。此外,PowerShell代码还会关闭“宏警告”和“受保护查看”功能,确保未来的攻击不需要用户干预。该恶意软件的基础设施包含一系列被入侵的主机。
我们在土耳其、约旦、阿塞拜疆、伊拉克、沙特阿拉伯以及马里、奥地利、俄罗斯、伊朗和巴林都发现了被攻击目标。
显然,这些攻击是出于地缘政治动机,攻击敏感的人员和组织,但目前仍然无法确定Muddy Water攻击行动幕后的指使者。当前攻击中使用的代码包含一些似乎专门用来干扰和误导调查人员的特征。其中包含在代码中插入中文,还有在恶意软件中使用诸如Leo、PooPak、Vendetta和Turk等名称。
“过去几年,我们见到Muddy Water威胁组织发动了大量攻击,与此同时还在不断开发新的攻击手段和技巧。该威胁组织的开发人员很活跃,一直在提升其攻击,从而最大程度地减少其暴露给安全产品和服务。这表明,这类攻击可能会在短期内加剧。所以我们约定在第一时间分享我们的发现,提高大家对这种威胁的认识,让相关组织可以采取行动保护自己。我们还在对攻击者的武器库进行分析,并会密切关注其进展以及战略和错误,”卡巴斯基实验室全球研究和分析团队自身安全研究员Amin Hasbini说。
为了降低成为Muddy Water这类攻击行动的受害者的风险,卡巴斯基实验室建议组织考虑以下安全措施:
- • 部署全面的针对性攻击检测、预防和调查方法,这包括高级反针对性攻击安全解决方案和安全培训。
- • 为安全员工提供对最新威胁情报数据的访问,这些数据将为他们提供有用的工具用于攻击预防和发现,例如感染迹象和YARA规则。
- • 确保建立企业级的补丁管理流程。
- • 仔细检查所有系统配置并实施最佳实践。
- • 对员工进行安全培训,让他们了解如何识别可疑邮件以及在发现可疑邮件时应当如何应对。
有关Muddy Water攻击行动第一阶段的更多详情,包括感染迹象,请查看Securelist上的相关 博文。.
卡巴斯基情报报告服务 客户可以获取有关Muddy Water武器库以及额外感染迹象和Yara规则等进一步信息,请联系intelreports@kaspersky.com。