锅背好了,新PowerShell后门归因于MuddyWater组织

锅背好了,新PowerShell后门归因于MuddyWater组织

趋势科技的安全研究人员最近发现基于PowerShell的后门,与威胁组织MuddyWater曾使用的恶意软件后门非常相似。MuddyWater是一个著名的威胁组织,自2017年以来一直活跃。他们针对中东和中亚的组织,主要使用带有恶意附件的鱼叉式网络钓鱼电子邮件。

MuddyWater活动踪迹

2017年底,研究人员第一次观察到MuddyWater的恶意活动,当时网络安全公司Palo Alto Networks的研究人员正在调查中东地区的一系列神秘的网络袭击事件。专家们将那次攻击活动及其幕后攻击者称为“MuddyWater”,原因在于2017年2月至10月期间,这些针对沙特阿拉伯、伊拉克、以色列、阿拉伯联合酋长国、格鲁吉亚、印度、巴基斯坦、土耳其和美国实体部门组织的攻击给当地造成了严重的混乱。

威胁行为者使用的基于PowerShell第一阶段的后门名为POWERSTATS,而在整个攻击过程中,攻击者还会不断改变工具和技术。

2018年3月,网络安全公司FireEye的专家发现了TEMP.Zagros集团(专家用来跟踪MuddyWater的另一个名称)进行的大规模网络钓鱼活动,在2018年1月至3月期间,一直以亚洲和中东地区为目标。

在趋势科技检测到的最新攻击中,威胁行为者使用了与MuddyWater兼容的TTPs,恶意代码是从土耳其上传到Virus Total。攻击者使用的诱饵文件会使用新的PowerShell后门,类似于MuddyWater的POWERSTATS后门。

“这些文件被命名为Raport.doc或Gizli Raport.doc(在土耳其语中意为“报告”或“机密报告”)或maliyeraporti(Gizli Bilgisi).doc(土耳其语中意为“财务(机密信息)”)——所有这些文件都被上传到土耳其的Virus Total,”趋势科技表示。

“我们的分析显示他们使用了一个新的后门,这个后门是用PowerShell写成的,就像MuddyWater已知的POWERSTATS后门那样。但是,与之前使用的POWERSTATS后门不同,此次攻击中,新后门的命令和控制(C&C)通信和数据泄露是通过使用云文件托管提供商的API来完成的。”

启用恶意宏

这些武器化文件中包含了一些模糊的土耳其政府组织标志的图片,欺骗受害者使用宏命令来清晰的显示文件。

锅背好了,新PowerShell后门归因于MuddyWater组织

虚假的Office文档试图让用户启用恶意宏

这些宏包含以base52编码的字符串,这种技术并不常见,在过去的攻击中被MuddyWater使用。启用后,宏将删除.dll文件(嵌入了PowerShell代码)和.reg文件到%temp%目录。随后宏运行以下命令:

锅背好了,新PowerShell后门归因于MuddyWater组织

PowerShell代码有几层混淆,后门最初收集系统信息并将各种信息(即操作系统名称、域名、用户、IP地址)连接成一个长字符串。

锅背好了,新PowerShell后门归因于MuddyWater组织

加密的PowerShell代码

至于通信,该恶意软件使用名为<md5(硬盘序列号)>的文件,其中包含与文件用途相关的各种扩展名:

.cmd–带有执行命令的文本文件

.reg–由myinfo()函数生成的系统信息

.prc–执行的.cmd文件的输出,仅存储在本地计算机上

.res –存储在云存储上的已执行.cmd文件的输出

在旧版本的MuddyWater后门和最新版本的后门中,这些文件被用作异步机制,而不是直接连接到机器,发出命令。

恶意软件操控者将命令保存在.cmd文件中,稍后返回以检索包含已发出命令结果的.res文件。恶意软件支持各种命令,包括文件上传、删除持久性、退出、文件下载和命令执行。

研究人员认为,针对土耳其政府组织的攻击事件与过去MuddyWater袭击金融和能源部门有关。这与MuddyWater之前的很多活动有相似之处,这些活动都针对土耳其政府实体。“如果这个新后门是该组织开发的,那么从这个后门就可以看出其一直在改进、开发新工具,”趋势科技总结道。

妥协指标

锅背好了,新PowerShell后门归因于MuddyWater组织

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132996.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code