最近，研究人员发觉了有关沙特APT机构泄漏的比较敏感信息内容，包含攻击工作能力、对策和攻击专用工具。泄漏是根据telegram完成的。第一次泄漏的內容是APT-34 (OilRig 机构)的攻击架构和webshell。以后的泄漏是有关MuddyWater的。

Clearsky安全性研究人员的剖析了该机构的全新漏洞检测应用和TTP。

Clearsky检验到MuddyWater应用的新的高級攻击向量，攻击总体目标是阅批部门实体线和电信网领域。TTP包含运用CVE-2017-0199系统漏洞的鱼饵文档做为攻击的第一阶段；攻击的第二阶段是与网站被黑的C2服务器虚拟机通讯，并免费下载感染了宏的文档。

MuddyWater (也叫SeedWorm/Temp.Zagros)是沙特适用的APT机构。该机构从2017年逐渐主题活动，自那时候起开始了几起国际性的监管主题活动，其最知名的攻击主题活动主要是对于中东地区和中亚地区的。该机构的攻击总体目标关键包含阅批部门、国防、电信网和学术研究组织。过去好多个月，Clearsky研究人员监管和检验到这种TTP的故意文档——置入了宏的鱼饵微软软件和运用CVE-2017-01995系统漏洞的文档。这也是MuddyWater第一次协同应用两个向量。

根据剖析Rana文档，研究人员发觉MOIS攻击精英团队分为两一部分，每一个一部分都是有不一样的目地和功效。

第一个是监管精英团队，特长是攻击系统软件；第二个是社会工作者精英团队，根据社会工程和渔叉式垂钓攻击方式来侵入财产。Clearsky剖析觉得MuddyWater应当关键承担社会工作者。

攻击向量1-故意宏

研究人员剖析发觉在近期的攻击主题活动中，该机构再次应用网站被黑的网络服务器。攻击者应用网络服务器来储存用以第二阶段攻击的恶意程序段，这与以前的攻击主题活动是相近的。另外，研究人员发觉了很多MuddyWater用于攻击乌兹别克斯坦常用的文档，应用的是經典攻击向量——故意VBA宏。

文档UNDP_TJK_Agreement_ORGS.doc便是一个装扮成联合国组织乌兹别克斯坦开发设计计划方案的官方网文档。开启该文档后，就会建立一个VBS文档。它是用好几个VBE、JS和Base64层编号的，这和以前MuddyWater的攻击向量也是相近的。恶意程序的第二阶段是以IP 185.244.149[.]218处免费下载的。并且研究人员发觉被MuddyWater黑掉的网络服务器就坐落于被攻击总体目标所属的我国。例如，Omri Segev Moyal就发觉了该机构在塔吉克斯坦应用的网站被黑的网址：该详细地址会与很多故意文档开展惋惜特性，在其中一个文档便是Nayatel.server.docx，装扮成了塔吉克斯坦的FTTH电信网服务供应商：

研究人员还发觉了MuddyWater黑掉的坐落于我国的网络服务器：

攻击向量2 – CVE-2017-0199

CVE-2017-0199是微软公司office的系统漏洞，也称之为Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API，容许远程控制攻击者根据仿冒的文档来实行随意编码。

有系统漏洞的版本号包含：

Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows 8.1

MuddyWater以往并沒有应用过那样的TTP。2年前，Palo Alto研究人员发觉沙特APT机构OilRig应用过网站渗透测试向量。

例如，最近被强上传入VirusTotal的一个文档就装扮成了德语撰写的文档。研究人员剖析发觉该文档和以前发觉的一个故意文档是同样的。在已经知道的攻击向量中，该文件会与IP地址185.185.25[.]175在80端口上开展通讯。假如文档接受到来源于网络服务器的正脸信息，就会实行下边的跳转到网络服务器。

假如跳转不成功，客户就会被跳转到Wikipedia网页页面：

下边是来源于Shodan服务端的截屏。从这当中能够看得出，依然被跳转到Wikipedia：

现阶段仅有3个防病毒软件模块鉴别出了该文档。而以前的攻击中，故意文档被鉴别的频次为32次。

5月份，研究人员在twitter上也汇报了另一个统计分析土尔其的异常文档，攻击向量也是同样的。

文件属性1

在第一阶段，文档开启后，会出現下边的不正确信息：

受害人愿意后，会出現此外一个不正确信息了解受害人修复文档的內容：

假如受害人确定，该系统漏洞就会被激话，word就会与C2服务器虚拟机通讯：