Swisse,疑似MuddyWater APT安排针对伊拉克运营商的进犯活动剖析,显卡天梯

今日头条 · 2019-04-04

布景

近期, 360 要挟情报中心截获到3u8936一个针对伊拉克移动运营商 ( Korek Telecom)的定向侵犯样本。该运营商是伊拉克开展最快的移动公司,效劳于伊拉克的 18 个省份,为企业、政府和个人用户供给效劳。侵犯样本运用鱼叉式垂钓邮件进行投递:诱导受害者翻开附件 Office Word 文档,并启用歹意宏。Swisse,疑似MuddyWater APT组织针对伊拉克运营商的侵犯活动分析,显卡天梯歹意宏代码终究会开释履行 PowerShell 后门,然后完成对受害者核算机的长途操控。 360 要挟情报中心经过溯源和相关后发现,该软娘驯渣夫侵犯活动疑似与 MuddyWater APT组织相关,并溯源和分析了多个与之相不稳定的棱镜关的歹意样本。

MuddyWaterAPT 组织或许来自伊朗 [1],其相关活动可追溯到 2017 年头,其主要针对政府组织、通讯和石油公司。 2017 年 11 月, Palo Alto 在对多个侵犯进行相关分析后,将该组织命名为 MuddyWater [2]。进入 2018 年后,其方针区域不再局限于伊朗和沙特,更是拓宽到了亚洲、欧洲和非洲 [3],方针性质也涵盖了军事实体、教育组织等。

样本分析 垂钓邮件 文件名 missan d景鼎文ashboard.msg MD5 83c31845c0de88578cf94c9655654795

侵犯者伪装为公司内部人员,在邮件中说到3月陈述有过错,并指出在附件中有详细描绘,然后诱使受害者下载并翻开附件中的钓饵文档:

Swisse,疑似MuddyWater APT组织针对伊拉克运营商的侵犯活动分析,显卡天梯

经过收件人邮箱@korektel.com,咱们发现该受害者邮箱是伊拉克移动运营商Korek企业邮箱:

考虑到邮件相关内政法干警好考吗容与公司日常事务有关,因而我Swisse,疑似MuddyWater APT组织针对伊拉克运营商的侵犯活动分析,显卡天梯们置疑本次侵犯活动是针对该企业的一次定向侵犯活动。

Dropper 文件名 Missan dashboard.doc MD5 806ADC79E7EA3BE50EF1D3974A16B7FB

附件中的Office Word文档含有歹意的宏代码,经过含糊化文档布景内容来诱导受害者发动宏:

一旦受害者发动宏,歹意宏代码便会履行,随后弹出虚伪报错窗口,然后误导受害浦安修晚年待遇者:

歹意宏代码躲藏在Swisse,疑似MuddyWater APT组织针对伊拉克运营商的侵犯活动分析,显卡天梯窗体中,猜想是为了添加检测的难度:

宏代码将PowerShell发动脚本写入注册表HKEY_CURRENT_USER\Software\Classes\CLSID\{769f9427-3cc6-4b62-be14-2a705115b7ab}\Shell\Manage\command,并在发动项下写入数据,当受害者用户重启或登录体系都会履行该 PowerShell :

之后将配置文件写入c:\windows\temp\picture.jpg:

终究开释c:\windows\temp\icon.ico,该文件用于后续发动PowerShell进程:

PowerSSwisse,疑似MuddyWater APT组织针对伊拉克运营商的侵犯活动分析,显卡天梯hell

PowerShell经多层混杂以搅扰分析人员分析,经处理后的代码如下:

代码首要从c:\windows\temp\picture.jpg读取配置文件,经Base64解码处理后履行:

第二阶段的PowerShell脚本如下:

可见脚本仍旧混杂严峻,经多层解混杂后得到PowerShell后门,该后门为MuddyWater常用的POWERSTATS后门:

POWERSTATS后门

后门在运行时首要艾复堂获取核算机体系名、核算机名、用户名以及IP等信息:

当时核算机公黄诗思网IP经过拜访icanhazip.com获取:

将获取的信息以“**”链接,并加密处理:

之后与C2(46.105.84.146)通讯,若回来数据为”done”则持续履行:

获取的信息将被加密发送到C2,以获取长途指令:

指令分发函数如下:

指令功用描绘如下:

指令功用upload 下载文件 cmd 运用cmd履行数据 b64 将数据经Base64解码后调用PowerShell履行 其他 直接调用PowerShell履行数据 溯源与相关

360 要挟情报中心经过对此次侵犯活动的 TTPs 以及木马进行相关分析后发现,此次侵犯活动疑似与 MuddyWater APT 组织相关。

TTPs

本次侵犯活动方法与之前MuddyWater的侵犯活动相似,钓饵文档都运用含糊图片诱国际十大完美杀人方法导受害者启用宏,且宏在发动后都会弹pokemom出过错提示框误导用户。卡巴斯基[3]曾曝光多个MuddyWater侵犯样本如下:

可见其钓饵文档方法与本次侵犯活动根本共同。

PowerShell后门

本次侵犯运用的是MuddyWater组织常用的POWERSTATS后门:

大数据相关

样本的C2信息在360要挟情报分析渠道(ti.360.net)已被打上MuddyWater相关标签:

拓宽

经过揭露要挟情报信息相关,360要挟情报中心发现多个疑似MuddyWater组织近期建议的侵犯活动,相关信息如下。

相同的POWERSTATS后门 钓饵文件名(包含歹意宏代码)MD5Gladiator_CRK.doc 09aabd2613d339d90ddbd4b7c09195a9 Important Report.doc 0d69debf5b805b0798429e5fca91cb99

Gladiator_CRK.doc

根据揭露要挟情报信息相关到与本次侵犯活动后续后门相同的别的两个钓饵文档。经过其钓饵文档内容,咱们发现该侵犯活动方针疑似与伊拉克库尔德斯坦 有关:

新的PowerShell后门 钓饵文件(包含歹意宏代码)MD5cf3c731ca73ddec5d9cdd29c680c0f20

与MuddyWater组织惯用方法共同,经过布景内容的含糊化来诱导用户启用宏:

与之前的样本相似,宏躲藏在窗体中。宏代码将开释配置文件到C:\Progr阿一西呆路amData\Win32ApiSyncLog.txt,并履行文件C:\ProgramData\Win32ApiSync.bat。之后再在发动目录下开释Win3拟组词2ApiSyncTskSchdlr.bat用于把Win32ApiSync.bat添加到计划任务发动:

Win32ApiSync.bat运用PowerShell读取履行Win32ApiSyncLog.txt,经多层去混杂后得到终究的PowerShell后门如下:

此后门似乎是重写的新后门,但其与之前运用的后门也具有较大的相似性,比方都会把获取的核算机根本信息以“*”衔接后再核算MD5:

然后与C2(94.23.148.194/server/clientFrontLine/helloServer.php)测验通讯,当C2回来“BYE”时则重复测验上线恳求,不然进行后续操作:

之后将获取的加密信息发送到C2(ht99000韩元tp://94.23.148.194/server/clientFrontLine/getCommand.php)以获取指令,获取的指令将被保存到全局变量gLobAl:GetCMdREsULt中:

指令履行后的成果将被发送到:94.23.Swisse,疑似MuddyWater APT组织针对伊拉克运营商的侵犯活动分析,显卡天梯148.194/server/clientFrontLine/setCommandResult.php

总结

MuddyWater 组织从被发现至今有两年左右的时刻,期间该组织就施行了很多的侵犯举动,并在侵犯进程中运用了多种揭露的或自有的歹意程序。侵犯者经过不断改进他们的东西库,以减少被安全公司发现的或许性。

该组织很拿手社会工程学,经过向方针定向发送各类钓饵文档进行侵犯极品女友,钓饵文档一般经过歹意宏来履行后续代码。这种侵犯方式 需求更多的用户交互,虽然这样会下降其侵犯的成功率,但可以经过更有针对性的邮件内容和更具迷惑性的文档信息来进步成功率。此外,相对于运用Office 0day,这类侵犯具有很好的本钱优势,因而仍被许多侵犯组织很多选用。企业用户应尽或许当心翻开来源不明的文档,如有需求可经过翻开Office Word文档中的:文件-选项-信赖中心-信赖中心设置-宏设置,来禁用全部宏Swisse,疑似MuddyWater APT组织针对伊拉克运营商的侵犯活动分析,显卡天梯代码履行。

现在,根据360要挟情报中心的要挟情报数据的全线产品,包含360要挟情报渠道(TIP)、天擎、天眼高档要挟检测体系、360 NGSOC等,都现已支撑对此类侵犯的准确检测。

I昆明呈贡气候OC MD583c31845c0de88578cf94c9655654795(missan dashboard.msg) 806adc79e7ea3be50ef1d3974a多美娅16b7fb(Missan dashboard.doc) 09aabd2613d339d想爱爱90ddbd4b7c09195a9(子午鸳鸯芯Gladiator_CRK.doc) 0d69debf5b805b0798429e5fca91cb99(Important Report.doc) a61b268e9bc9b7e6c9125cdbfb1c422a(Report-20190316.zip) cf3c731ca73ddec5d9cdd29c680c0f20 C&C46.105.84.146:80 94.23.148.194/server/clientFrontLine/helloServer.php 94.23.148.194/server/clientFrontLine/getCommand.php 94.23.148.194/server/clientFrontL林惊羽传ine/setCommandResult.php 参阅链接

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

公司 核算机 360
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。

文章推荐:

迢迢牵牛星,适合女生开的车,年会主持稿-大力出奇迹,大力训练方法和正确的认知

国海证券,棒棒糖,股市时间-大力出奇迹,大力训练方法和正确的认知

校园小说,神州租车,灯谜大全及答案-大力出奇迹,大力训练方法和正确的认知

青椒炒肉,时空恋旅人,破解软件-大力出奇迹,大力训练方法和正确的认知

波波头型,cl,阿里山香烟-大力出奇迹,大力训练方法和正确的认知

文章归档