歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

污水(MuddyWater)近期針對塔吉克斯坦、土耳其等地的攻擊活動匯總

來源:本站整理 作者:佚名 時間:2019-06-18 TAG: 我要投稿

一、背景
污水(MuddyWater)APT組織是一個疑似來自伊朗的攻擊組織,該組織主要針對中東地區、前蘇聯國家、土耳其等中亞國家的政府部門進行攻擊。該組織是目前全球最活躍的的APT攻擊組織之一,騰訊安全御見威脅情報中心也曾多次披露該組織的攻擊活動。
近期,騰訊安全御見威脅情報中心又持續監測到該組織在中亞、中東地區的一些攻擊活動,包括塔吉克斯坦的外交、政府部門、土耳其的政府部門等。并且該組織也更新了其攻擊TTPs,如宏代碼拼接內置硬編碼字符串寫入VBE;利用注冊表,自啟動文件夾啟動VBE等,此外在受害者選擇上也更為精確,通過第一階段后門反饋的受害者信息挑選目標進行下一步持久化等。
本文為對近期一些活動的攻擊總結,此外騰訊安全御見威脅情報中心還將繼續持續對該組織的一些攻擊活動進行跟蹤。
二、攻擊活動
1.攻擊活動一:針對塔斯克斯坦聯合國部門的攻擊活動
1)攻擊誘餌信息:
文件hash
文件名
文件類型
文檔作者
最后修改者
最后修改時間
上傳到VT時間
1e8afda2721eff834ed9c87371a432fe
UNDP_TJK_Agreement_ORGS.doc
MS Word Document
Khursheda Aknazarova
win
2019-05-29 12:32:00
2019-05-30 04:07:35
文件誘餌內容如下:



從誘餌內容來看,該波釣魚攻擊的對象為塔吉克斯坦聯合國相關部門。
打開文檔后,提示開啟宏。執行宏代碼后,首先會創建文件%public%dj.txt,并寫入硬編碼在宏中的字符串,隨后再在啟動文件夾下創建antibiotic.vbe文件,并將控件domainServer中的內容進行拼接寫入vbe文件:


2)Antibiotic.vbe分析
vbe解密后展開,這段vbs代碼作用是創建%public%USERCa.jpeg文件,并將內置編碼字符串寫入該文件中,隨后利用powershell運行該圖片:

3)USERCa.jpeg分析
該段內容經過編碼混淆:

去混淆后的powershell腳本為:

腳本首先會解密出來相關的c2配置:

隨后會收集本地機器信息寫入%temp%log.txt中,然后獲取guid和c2拼接成地址,最后將log.txt中的內容讀取并進行base64編碼,傳送給拼接的地址,最后再去請求服務器下載最后的powershell木馬。
post本地信息url:http://185.244.149.218/game.php?NewsIID=guid

接著下載下一步powershell后門:

http://185.244.149.218/JpeGDownload/{guid}.png

2.攻擊活動二:針對塔吉克斯坦政府部門的攻擊
1)攻擊誘餌
文件hash
文件名
文件類型
文檔作者
最后修改者
最后修改時間
上傳到VT時間
6cb076f1f42573c5c43083a89bcfe442
Zakupki_Agency on Public Procurement.doc
MS Word Document
win7
win7
2019-05-23 04:00:00
2019-05-27 00:11:18
文檔內容為:


從誘餌內容來看是針對塔吉克斯坦采購部門的一次釣魚攻擊。
該文檔打開后,同樣提示需要打開宏。而執行宏代碼后,會創建%Temp%aulngr.vbe和%Temp%bbbbbb.tmp并將內置硬編碼數據寫入。隨后設置注冊表自啟:

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视