污水（MuddyWater）近期针对塔吉克斯坦、土耳其等地的攻击活动汇总

腾讯安全系统安全 2019-06-12 10:14:34

250059

导语：污水（MuddyWater）APT组织是一个疑似来自伊朗的攻击组织，该组织主要针对中东地区、前苏联国家、土耳其等中亚国家的政府部门进行攻击。该组织是目前全球最活跃的的APT攻击组织之一，腾讯安全御见威胁情报中心也曾多次披露该组织的攻击活动。

一、背景

污水（MuddyWater）APT组织是一个疑似来自伊朗的攻击组织，该组织主要针对中东地区、前苏联国家、土耳其等中亚国家的政府部门进行攻击。该组织是目前全球最活跃的的APT攻击组织之一，腾讯安全御见威胁情报中心也曾多次披露该组织的攻击活动。

近期，腾讯安全御见威胁情报中心又持续监测到该组织在中亚、中东地区的一些攻击活动，攻击目标放在了塔吉克斯坦、土耳其等地。并且该组织也更新了其攻击TTPs，如宏代码拼接内置硬编码字符串写入VBE；利用注册表，自启动文件夹启动VBE等，此外在受害者选择上也更为精确，通过第一阶段后门反馈的受害者信息挑选目标进行下一步持久化等。

本文为对近期一些活动的攻击总结，此外腾讯安全御见威胁情报中心还将继续持续对该组织的一些攻击活动进行跟踪。

二、攻击活动

1、攻击活动一：针对塔斯克斯坦联合国部门的攻击活动

1）攻击诱饵信息：

文件诱饵内容如下：

从诱饵内容来看，该波钓鱼攻击的对象为塔吉克斯坦联合国相关部门。

打开文档后，提示开启宏。执行宏代码后，首先会创建文件%public%dj.txt，并写入硬编码在宏中的字符串，随后再在启动文件夹下创建antibiotic.vbe文件，并将控件domainServer中的内容进行拼接写入vbe文件：

2）Antibiotic.vbe 分析

vbe解密后展开，这段vbs代码作用是创建%public%USERCa.jpeg文件，并将内置编码字符串写入该文件中，随后利用powershell运行该图片：

3）USERCa.jpeg分析

该段内容经过编码混淆：

去混淆后的powershell脚本为：

脚本首先会解密出来相关的c2配置：

随后会收集本地机器信息写入%temp%log.txt中，然后获取guid和c2拼接成地址，最后将log.txt中的内容读取并进行base64编码，传送给拼接的地址，最后再去请求服务器下载最后的powershell木马。

post本地信息url:

http://185.244.149.218/game.php?NewsIID=guid

接着下载下一步powershell后门：

http://185.244.149.218/JpeGDownload/{guid}.png

2、攻击活动二：针对塔吉克斯坦相关部门的攻击

1）攻击诱饵

文档内容为：

从诱饵内容来看是针对塔吉克斯坦采购部门的一次钓鱼攻击。

该文档打开后，同样提示需要打开宏。而执行宏代码后，会创建%Temp%aulngr.vbe和%Temp%bbbbbb.tmp并将内置硬编码数据写入。随后设置注册表自启：

该生成的vbe的内容跟上面的攻击差别不大，不再赘述：

2）最终的jepg分析

最终下载回来的jepg实际为一个powershell的ps1脚本：

对其解码后为：

解码后的脚本包含大量的混淆，其中大量无用代码。

脚本首先会去利用内置解密函数解密C2：

随后收集本地信息，包括本地用户名、系统名、系统版本、ip等：

如获取外网ip：

如设置注册表，获取guid：

接着将收集到的本地信息http post到C2服务器，%guid%表示本机guid

url:http://83.171.238.62/ls.php?TOKEN=Pomy54tvbRetceX&funx=reg&UU=%guid%

然后，不断http get C2服务器，获取下一步执行指令：

URL:

http://83.171.238.62/command/%guid%.cmd

http://83.171.238.62/ls.php?TOKEN=Pomy54tvbRetceX&funx=uDel&filename=%guid%.cmd

该powershell 木马支持三种指令，并且将结果通过base64编码后http post给C2服务器：

· 指令一：获取截图

URL:

http://83.171.238.62/ls.php?TOKEN=Pomy54tvbRetceX&funx=sc&i=%guid%.png

· 指令二：执行cmd指令

URL：

http://83.171.238.62/ls.php?TOKEN=Pomy54tvbRetceX&funx=res&R=%guid%

· 指令三：执行powershell

URL：

http://83.171.238.62/ls.php?TOKEN=Pomy54tvbRetceX&funx=res&R=%guid%

3、攻击活动三：针对塔吉克斯坦相关部门（如使领馆）的攻击

通过模板注入执行下载命令：

4、攻击活动四：针对土耳其的相关部门的攻击

同样使用模板注入的方式：

5、其他的一些攻击活动：

宏代码为：

从宏名字看，为BlackWater活动。而对比收集本地信息高度一致：

该活动思科的talos团队已经披露过，本文就不再追溯。

三、总结

污水（MuddyWater）APT 组织是近几年来全球最活跃的攻击组织之一，虽然该组织的攻击活动多次被多个安全公司所曝光，但是该组织并未停止他们的攻击活动，并且持续的更新其TTPs来对抗安全软件的检测。此外，鱼叉攻击、宏代码等传统的攻击方式依然是最有效、使用最广泛的攻击方式，因此相关部门和单位切不可掉以轻心。因为APT攻击不会因为被曝光而停止，只要攻击目标有价值，APT攻击组织必然会持续的对目标进行攻击，直到达成目的。因此我们建议相关部门和单位：

1、提升安全意识，不要打开来历不明的邮件的附件；除非文档来源可靠，用途明确，否则不要轻易启用Office的宏代码；

2、使用杀毒软件防御可能得病毒木马攻击。

四、附录

1、IOCs

MD5：

· 1e8afda2721eff834ed9c87371a432fe

· d129aab947fc6a8fb7ae9df5bc70d460

· 176e56a418bc4c11783d6411aef94c38

· f460780c1cad15c3883868cb5050375c

· 6cb076f1f42573c5c43083a89bcfe442

· 9d2da5228e21594ab46b4f5281d38b8f

· 57c0b9e0fed9a65c63ec0825b6867a40