MuddyWater组织疑似又开始活跃了

lucywang Web安全 2018年6月19日发布
Favorite收藏

导语:APT组织“MuddyWater”的攻击活动最早出现于2017年,它多以间谍活动为目的,受害者主要分布在巴基斯坦、沙特阿拉伯、阿联酋和伊拉克等中东国家,攻击是通过Microsoft Office Word宏部署的PowerShell脚本进行的。

Targeted-attacks04-200x200.jpg

APT组织“MuddyWater”的攻击活动最早出现于2017年,它多以间谍活动为目的,受害者主要分布在巴基斯坦、沙特阿拉伯、阿联酋和伊拉克等中东国家,攻击是通过Microsoft Office Word宏部署的PowerShell脚本进行的。在2018年3月,“MuddyWater”再度活跃,利用Powershell作为后门程序发起新一轮网络攻击。

据悉,该组织自2017年11月被曝光以来,不但没有停止攻击,反而更加积极的改进攻击武器,在土耳其等国家持续活跃,主要攻击目标集中在政府、金融、能源、电信等行业用户。目前该攻击虽然尚未在国内地区发现,但用户同样不可放松警惕。

在2018年5月,研究人员发现了一个新的样本,趋势科技将其定义为W2KM_DLOADR.UHAOEEN,它可能与本次攻击活动有关。与之前的攻击活动一样,本次攻击中,攻击者再次使用了嵌入恶意宏的Microsoft Word文档,这些宏能够执行PowerShell (PS)脚本,从而实施恶意载荷。在本次分析的样本中,研究人员发现,与之前攻击显著的区别是,此次攻击的恶意样本不会直接下载Visual Basic脚本(VBS)和PowerShell组件文件,而是先对文件本身的所有脚本进行编码,然后再对脚本进行解码,解码后再将其删除。这样做的目的就是执行有效载荷,而不需要下载组件文件。

通过以上对样本的分析,本次的攻击很可能就是“MuddyWater”的最新活动的特征,特别是在恶意攻击方法上,因为攻击者使用了嵌入宏的恶意文档,通过这些文档来进行钓鱼攻击。

在对恶意宏的脚本进行混淆处理后,攻击者就会实现预期的后门载荷,而这种方法通常用于“MuddyWater”发动的攻击中。

攻击过程的分析

1.png

本次攻击的过程和以前攻击过程的区别

研究人员本次分析的样本是一个Word文档,如果受害者不小心点击了它,攻击就会开始。然而,与之前的攻击不同的是,这些进行钓鱼的文档包含了许多不同的主题。新的钓鱼文件没有使用与政府或电信相关的文件,而是使用商业促销或其他主题,这可能表明攻击目标不再局限于特定的行业或组织。

2.png

在新的攻击活动中使用的文件主题样本

只要用户点击该文件,恶意宏就可以开始运行,安装在用户的设备上,然后在用户不知情的情况下执行恶意的例程。

一旦宏被启用,如果使用相同模板的新文档被打开或者当模板本身作为document0被打开时。它将使用Document_Open()事件自动执行恶意例程。

3.png

通过Document_Open()执行恶意例程

恶意宏的代码片段使用了三个主要函数,具体来说是:

1.红色框中包含的函数是Document_Open()事件,其中将执行/调用所有子函数;

2.绿色框中的代码负责处理文档正文中显示的图像;

3.蓝色框中的代码构建主要的Powershell命令和脚本,这些命令和脚本负责执行以下例程。

4.png

恶意宏的一个代码片段,彩色方框标出了不同的功能区

解码和去混淆过程

对代码的分析显示,PowerShell脚本能够解码恶意文档的内容,从而导致执行另一个编码的PowerShell脚本。

5.png

示例代码中包含的Powershell脚本

6.png

第二个编码的PowerShell脚本,它在第一个脚本被解码后执行

这将导致更具可读性的PowerShell脚本能够在%Application Data%\Microsoft\CLR\*目录中删除各种组件。主要的PowerShell文件invoker.ps1使用这些组件运行最终的有效载荷——PRB-Backdoor。

7.png

在%Application Data%\Microsoft\CLR\*目录中删除的组件

PRB-Backdoor是一个后门,它的名称取自最终PowerShell脚本载荷中使用的函数,如图所示。

MuddyWater-New8.png

PRB-Backdoor的名称来源

这个后门会与它的命令和控制(C&C服务器) hxxp://outl00k[.]net进行通信,以发送和接收以下命令。

1.png

如果这些样本确实与MuddyWater有关,这意味着MuddyWater的幕后团队正在不断迭代其攻击技术和方法。

通过进一步分析该组织近期的几次攻击活动,趋势科技的研究人员发现,目前该APT组织已有成熟的js、Powershell后门程序和完整的混淆反查杀流程。此外,该APT组织正积极探索非PE文件后门,或意图发起更大规模的网络攻击。

IoCs

检测为W2KM_DLOADR.UHAOEEN的样本的IoCs:240b7d2825183226af634d3801713b0e0f409eb3e1e48e1d36c96d2b03d8836b

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/another-potential-muddywater-campaign-uses-powershell-based-prb-backdoor/如若转载,请注明原文地址: http://www.4hou.com/web/12100.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论