关键词
MuddyWater、网络间谍活动、知识产权窃取攻击、中东地区
-
国防
-
教育
-
能源
-
金融服务
-
政府和行政机构
-
医疗
-
高科技
-
跨国组织
-
媒体
图1:受MuddyWater影响的国家
MuddyWater的武器库非常庞大,该组织会利用各种已知漏洞、使用大量工具发动攻击。
在ATT&CK矩阵中的初始访问阶段,该组织通常会利用鱼叉式钓鱼攻击诱骗受害者打开隐藏在商业文件共享服务中的恶意文档。获得初始访问权限后,他们通常会释放WebShell来获取受感染主机上的本地管理员访问权限。在受害主机上通过使用工具如Mimikatz转储凭据。为了扩大攻击范围,MuddyWater通过在内网利用内置程序或部署相关工具进行横向移动。
MuddyWater通常使用DNS协议与C2服务器进行通信,通讯工具会使用PowerShell,vpnui.exe(Ligolo的专有版本)和远控软件(包括ScreenConnect,Remote Utilities和eHorus)。
下图为Microsoft发现的一个MuddyWater攻击链实例。
图2:MuddyWater攻击链(来源:Microsoft)
-
PowGoop DLL Loader:PowGoop 恶意软件是一种恶意 DLL 加载程序。它会伪装成合法的Google Update可执行文件。 -
Small Sieve:Small Sieve是一个简单的Python后门,常用于分发Nullsoft Scriptable Install System(NSIS)安装程序。 -
Canopy:Canopy 是一种间谍软件。它收集受害者的用户名、计算机名称和 IP 地址,并将其发送给 MuddyWater 组织。Canopy 恶意软件也称为 Starwhale 恶意软件。 -
Mori:Mori 是一个后门,它使用DNS隧道与该组织的 C2 基础设施进行通信。 -
POWERSTATS:POWERSTATS是一个运行PowerShell脚本以保持对受害者系统持久访问权的后门。
图3:SOCRadar 提供的 MuddyWater 相关工具和漏洞利用库
图4:MuddyWater行动时间线
图5:MuddyWater针对的国家
-
2020年9月流沙行动以色列:据 ClearSky 报道,MuddyWater 针对许多著名的以色列组织发起攻击。在这个特定的行动中,安全研究人员观察到攻击者使用Shamoon的变体来加密数据。不过最终发现其使用Shamoon的目的不是部署勒索软件,而是扰乱业务行为。
图6:流沙行动
-
2021 年 3 月地球维塔拉行动:根据趋势科技的数据,阿塞拜疆、巴林、以色列、沙特阿拉伯和阿拉伯联合酋长国是该行动的目标地区。政府机构、学术界和旅游业则是这些攻击目标的主要受害领域。
2022 年 1 月,有网络安全研究人员报告称MuddyWater 针对的是土耳其私人机构和政府组织。该组织在活动期间使用了多个恶意PDF和MS Office文档。在鱼叉式钓鱼攻击的诱饵文件中,攻击者试图说服受害者相信这些文件来自土耳其卫生部和内政部。
图7:土耳其行动中使用的恶意PDF
图8:来自MuddyWater以色列攻击的邮件实例
-
MuddyWater利用鱼叉式钓鱼攻击。请为机构内员工提供必要的安全意识培训。 -
通过攻击面管理解决方案了解面向外部环境的数字资产。 -
定期安装安全补丁和软件更新。 -
在整个网络中应用最小特权原则,尤其是关键系统和服务。 -
使用具备最佳实践的安全域控设备 (DC)。 -
启用多重身份验证 (MFA) 以防止横向移动。 -
请使用文末附录内的 IOCs 并采取必要的缓解措施。
涉及MITRE ATT&CK技术一览:
技术 |
ATT&CK编号 |
侦察阶段 |
|
收集受害者身份信息: 电子邮箱地址 |
T1589.002 |
工具开发 |
|
获取基础设施:Web 服务 |
T1583.006 |
获取功能:工具 |
T1588.002 |
初始访问 |
|
钓鱼攻击:鱼叉式钓鱼邮件附件 |
T1566.001 |
钓鱼攻击:鱼叉式钓鱼邮件链接 |
T1566.002 |
程序执行 |
|
WMI管理 |
T1047 |
命令与脚本解释器:Powershell |
T1059.001 |
命令与脚本解释器:CMD |
T1059.003 |
命令与脚本解释器:Visual Basic |
T1059.005 |
命令与脚本解释器:Python |
T1059.006 |
命令与脚本解释器:JavaScript |
T1059.007 |
客户端程序执行的利用 |
T1203 |
用户侧程序执行:恶意链接 |
T1204.001 |
用户侧程序执行:恶意文件 |
T1204.002 |
内部进程通信:COM |
T1559.001 |
内部进程通信:动态数据交换 |
T1559.002 |
持久化 |
|
计划任务:计划任务 |
T1053.005 |
Office程序启动项:Office模板宏 |
T1137.001 |
开机自启动项: 注册表自启动项/自启动文件夹 |
T1547.001 |
权限提升 |
|
滥用提权控制机制: 绕过UAC |
T1548.002 |
获取本地密码存储凭证 |
T1555 |
获取Web浏览器密码凭证 |
T1555.003 |
防御机制绕过 |
|
文件或信息混淆 |
T1027 |
密码学 |
T1027.003 |
分发后编译 |
T1027.004 |
伪装: 匹配合法姓名或地址 |
T1036.005 |
文件或信息解混淆/解码 |
T1140 |
系统二进制文件代理执行: CMSTP |
T1218.003 |
系统二进制文件代理执行: Mshta |
T1218.005 |
系统二进制文件代理执行: Rundll32 |
T1218.011 |
执行护栏 |
T1480 |
破坏防御: 禁用或修改工具 |
T1562.001 |
凭证获取 |
|
操作系统凭证转储: LSASS内存获取 |
T1003.001 |
操作系统凭证转储: LSA密码 |
T1003.004 |
操作系统凭证转储: 缓存域凭证 |
T1003.005 |
不安全的凭证存储: 在文件中存储凭证 |
T1552.001 |
发现 |
|
系统网络配置发现 |
T1016 |
系统所有者/用户发现 |
T1033 |
系统网络连接发现 |
T1049 |
进程发现 |
T1057 |
系统信息发现 |
T1082 |
文件与目录发现 |
T1083 |
账户发现:域账户 |
T1087.002 |
软件发现 |
T1518 |
安全软件发现 |
T1518.001 |
敏感信息收集 |
|
截屏 |
T1113 |
打包收集的信息:通过工具打包 |
T1560.001 |
命令与控制 |
|
应用层协议:Web协议 |
T1071.001 |
代理:外部代理 |
T1090.002 |
Web服务: 双向通信 |
T1102.002 |
多阶段通信 |
T1104 |
切入工具转移 |
T1105 |
数据编码:标准编码 |
T1132.001 |
数据编码:非标准编码 |
T1132.002 |
远控软件 |
T1219 |
信息渗出 |
|
通过C2信道渗出信息 |
T1041 |
-
MD5: a27655d14b0aabec8db70ae08a623317 -
SHA-1: 7649c554e87f6ea21ba86bb26ea39521d5d18151 -
SHA-256: 2c92da2721466bfbdaff7fedd9f3e8334b688a88ee54d7cab491e1a9df41258f -
文件类型: Win32 DLL -
文件大小: 88.50 KB (90624 bytes)
-
MD5: cec48bcdedebc962ce45b63e201c0624 -
SHA-1: 81f46998c92427032378e5dead48bdfc9128b225 -
SHA-256: dd7ee54b12a55bcc67da4ceaed6e636b7bd30d4db6f6c594e9510e1e605ade92 -
文件类型: Win32 DLL -
文件大小: 91.50 KB (93696 bytes)
-
104.208.16[.]94:443 (TCP) -
20.42.65[.]92:443 (TCP) -
20.42.73[.]29:443 (TCP)
-
MD5: 860f5c2345e8f5c268c9746337ade8b7 -
SHA-1: 6c55d3acdc2d8d331f0d13024f736bc28ef5a7e1 -
SHA-256: 9d50fcb2c4df4c502db0cac84bef96c2a36d33ef98c454165808ecace4dd2051 -
文件类型: Win32 DLL -
文件大小: 94.50 KB (96768 bytes)
-
20.189.173[.]20:443 (TCP) -
20.189.173[.]21:443 (TCP) -
20.42.73[.]29:443 (TCP)
-
MD5: 15fa3b32539d7453a9a85958b77d4c95 -
SHA-1: 11d594f3b3cf8525682f6214acb7b7782056d282 -
SHA-256: b75208393fa17c0bcbc1a07857686b8c0d7e0471d00a167a07fd0d52e1fc9054 -
文件类型: Win32 EXE -
文件大小: 16.21 MB (16999598 bytes)
-
13.107.4[.]50:80 (TCP) -
149.154[.]167.220:443 (TCP) -
192.168.0[.]15:137 (UDP) -
23.216.147[.]64:443 (TCP) -
23.216.147[.]76:443 (TCP) -
a83f:8110:0:0:1400:1400:2800[:]3800:53 (UDP)
-
MD5: 5763530f25ed0ec08fb26a30c04009f1 -
SHA-1: 2a6ddf89a8366a262b56a251b00aafaed5321992 -
SHA-256: bf090cf7078414c9e157da7002ca727f06053b39fa4e377f9a0050f2af37d3a2 -
文件类型: Win32 EXE -
文件大小: 16.46 MB (17263089 bytes)
-
13.107.4[.]50:80 (TCP) -
192.168.0[.]1:137 (UDP) -
192.168.0[.]25:137 (UDP) -
20.99.132[.]105:443 (TCP) -
209.197.3[.]8:80 (TCP) -
23.216.147[.]64:443 (TCP) -
a83f:8110:0:0:7f00:0:0[:]0:53 (UDP) -
a83f:8110:492a:d801:d1df:1328:492a[:]d801:53 (UDP) -
a83f:8110:5067:d801:beac:bf78:cce1[:]d301:53 (UDP)
-
MD5: b0ab12a5a4c232c902cdeba421872c37 -
SHA-1: a8e7659942cc19f422678181ee23297efa55fa09 -
SHA-256: 026868713d60e6790f41dc7046deb4e6795825faa903113d2f22b644f0d21141 -
文件类型: MS Excel Spreadsheet -
文件大小: 247.00 KB (252928 bytes)
-
88.119.170[.]124:80 (TCP)
-
MD5: 6cef87a6ffb254bfeb61372d24e1970a -
SHA-1: e21d95b648944ad2287c6bc01fcc12b05530e455 -
SHA-256: 4b2862a1665a62706f88304406b071a5c9a6b3093daadc073e174ac6d493f26c -
文件类型: MS Excel Spreadsheet -
文件大小: 249.00 KB (254976 bytes)
-
5.199.133[.]149:80 (TCP)
-
MD5: 0431445d6d6e5802c207c8bc6a6402ea -
SHA-1: 3765c1ad8a1d936aad88255aef5d6d4ce24f94e8 -
SHA-256: 3098dd53da40947a82e59265a47059e69b2925bc49c679e6555d102d1c6cbbc8 -
文件类型: Win32 DLL -
文件大小: 200.65 MB (210397496 bytes)
-
MD5: f5dee1f9cd47dc7bae468da9732c862e -
SHA-1: 5273ee897e67fc01ee5fef08c37400cb4ee15958 -
SHA-256: 6f8226d890350943a9ef4cc81598e0e953d8ba9746694c0b7e3d99e418701b39 -
文件类型: Win32 EXE -
文件大小: 119.00 KB (121856 bytes)
-
MD5: e75443a5e825f69c75380b6dc76c6b50 -
SHA-1: 142b5753c608c65e702e41b52abdeb96cb2f9294 -
SHA-256: c514c3f293f0cb4c23662a5ab962b158cb97580b03a22b82e21fa3b26d64809c -
文件类型: Win32 EXE -
文件大小: 92.50 KB (94720 bytes)
-
13.107.4.50:80 (TCP) -
a83f:8110:e0:ffff:e0:ffff:e0[:]ffff:53 (UDP)
编辑|倪锴
审校|何双泽、王仁
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
原文始发于微信公众号(国家网络威胁情报共享开放平台):APT组织MuddyWater分析