最近, 360 威胁情报管理中心捕获到一个对于伊拉克通信运营商 ( Korek Telecom)的定项攻击样版。该营运商是伊拉克发展趋势更快的联通公司,服务项目于伊拉克的 18 个省区,为公司、阅批部门和普通用户出示服务项目。攻击样版应用渔叉式钓鱼邮件开展递送:诱发受害者开启配件 Office Word 文本文档,并开启恶意宏。恶意宏代码最后会释放出来实行 PowerShell 后门,进而完成对受害者电子计算机的远程操作。 360 威胁情报管理中心历经追溯和关系后发觉,该攻击主题活动疑是与 MuddyWater APT机构有关,并追溯和剖析了好几个与之有关的恶意样版。
MuddyWaterAPT 机构很有可能来源于沙特[1],其有关主题活动追朔到 2017 今年初,其关键对于阅批部门、通讯和石油公司。 2017 年 11 月, Palo Alto 在对好几个攻击开展相关性分析后,将该机构取名为 MuddyWater[2]。进到 2018 年之后,其总体目标地域已不限于沙特和沙特阿拉伯,也是扩展到亚洲地区、欧州和非州[3],总体目标特性也包含了国防实体线、教育培训机构等。
样版剖析
钓鱼邮件
文件夹名称
missan dashboard.msg
MD5
83c31845c0de88578cf94c9655654795
攻击者掩藏为企业内部员工,在电子邮件中提及3月汇报有不正确,并强调在配件中有详细说明,进而引诱受害者免费下载并开启配件中的鱼饵文本文档:
根据收货人电子邮箱@korektel.com,大家发觉该受害者电子邮箱是伊拉克通信运营商Korek公司邮箱:
充分考虑电子邮件相关内容与企业日常业务流程相关,因而大家猜疑此次攻击主题活动是对于该公司的一次定项攻击主题活动。
Dropper
文件夹名称
Missan dashboard.doc
MD5
806ADC79E7EA3BE50EF1D3974a16B7FB
配件中的Office Word文本文档带有恶意的宏代码,根据模糊文档背景內容来诱发受害者运行宏:
一旦受害者运行宏,恶意宏代码便会实行,接着弹出来虚报出错对话框,进而欺诈受害者:
恶意宏代码掩藏在文本框中,猜想是为了更好地提升检验的难度系数:
宏代码将PowerShell运行脚本制作载入注册表文件HKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{769f9427-3cc6-4b62-be14-2a705115b7ab}\\Shell\\Manage\\command,并在开机启动项下载入数据信息,当受害者客户重新启动或登录系统都是会实行该 PowerShell :
以后将环境变量载入c:\\windows emp\\picture.jpg:
最终释放出来c:\\windows emp\\icon.ico,该文件用以事后运行PowerShell过程:
PowerShell
PowerShell经双层搞混以影响剖析工作人员剖析,经解决后的编码以下:
编码最先从c:\\windows emp\\picture.jpg载入环境变量,经Base64编解码解决后实行:
第二阶段的PowerShell脚本制作以下:
由此可见脚本制作依然搞混比较严重,经双层解搞混后获得PowerShell后门,该后门为MuddyWater常见的POWERSTATS后门:
POWERSTATS后门
后门在运作时最先获得计算机软件名、计算机名、登录名及其IP等信息内容:
当今电子计算机公网IP根据浏览icanhazip.com获得:
将获得的信息内容以“**”连接,并数据加密解决: