MuddyWater–针对中东的APT组织

卡巴斯基10月10日发帖称,MuddyWater主要关注伊拉克和沙特阿拉伯的政府目标。MuddyWater背后的团队将瞄准中东,欧洲和美国的其他国家。卡巴注意到大量的鱼叉式网络钓鱼文件似乎针对约旦、土耳其、阿塞拜疆和巴基斯坦的政府机构、军事实体、电信公司和教育机构。此外还不断针对伊拉克和沙特阿拉伯,其他受害者也是在马里,奥地利,俄罗斯,伊朗和巴林发现了这些新文件。攻击从5月起逐步升级。攻击仍在继续。

MuddyWater利用钓鱼文档依靠社交工程来诱惑用户启用宏。密码保护以阻止分析,恶意文档中的宏在启用时执行模糊的VBA代码。攻击者利用受到攻击的主机作为跳板来发动攻击。在本研究的高级阶段,我们不仅可以观察攻击者手中的其他文件和工具,还可以观察攻击者的一些OPSEC错误。

受害者分布:

攻击样本图示:

约旦、土耳其、阿塞拜疆、沙特、巴基斯坦、伊拉克等样本与上图类似。

攻击技术细节:

参考卡巴斯基报告https://securelist.com/muddywater/88059/

大致流程为感染攻击者后,通过宏运行VBA代码,然后删除PowerShell代码,发送受害者系统信息,然后接收恶意软件命令。

感染开始于启用宏的Office 97-2003 Word文件

首次启用宏时,将执行恶意混淆的VBA代码。在某些情况下,当用户激活伪文本框时,也会执行恶意宏

  1. 将两个或三个文件放入“ ProgramData ”文件夹中。删除的文件位于“ ProgramData ”文件夹的根目录中或子目录中。文件名可能因恶意软件的一个版本而异。

\ EventManager.dll 
\ EventManager.logs 
\ WindowsDefenderService.ini l

  1. 在当前用户的RUN密钥(HKCU)中添加一个注册表项,以便在用户下次登录时稍后执行。在某些情况下,宏会立即生成恶意负载/进程,而无需等待用户下次登录。注册表项可执行文件可能因恶意软件的一个版本而异。

Name:WindowsDefenderUpdater
Type:REG_EXPAND_SZ
Data:c:\windows\system32\rundll32.exe advpack.dll,LaunchINFSection C:\ProgramData\EventManager.logs,Defender,1,

用户下次登录时,将执行丢弃的有效载荷。这些攻击利用了Microsoft的合法可执行文件,所有这些文件都被列入白名单,从而确保了有效负载的执行。该宏删除INF,SCT和文本文件或VBS和文本文件。

在第一种情况中,INF通过advpack.dll “LaunchINFSection”函数启动,通过scrobj.dll(Microsoft Scriptlet库)注册SCT文件(scriptlet文件)。接下来,SCT中的JavaScript或VBscript代码利用WMI(winmgmt)来生成使用文本文件的PowerShell单行代码。

在第二种情况下,VBS文件自行解码并调用mshta.exe。传递给mshta的一行VBScript代码生成一个PowerShell单行代码来使用文本文件。

单线程PowerShell代码读取在ProgramData中删除的编码文本文件,并将其解码为混淆代码。

C2通讯

为了与命令和控制(C&C)服务器通信,代码从列表中随机选择一个URL。如果通信失败,它会尝试连接到该列表中另一个随机选择的URL,然后从1到30秒休眠并再次循环

从变量为$ dragon_middle的数组中保存的一长串嵌入URL中随机选择一个URL 。随后,所选URL用于与C2服务器通信。如果它无法将数据发送到所选的C2 URL,它会尝试从$ middle_dragon获取另一个随机URL ,然后从1到30秒休眠并再次循环。

一旦机器被感染,代码就会尝试获取受害者的公共IP,并将信息以及操作系统版本,内部IP,计算机名称,域名和用户名发送到C&C,从而允许攻击者过滤受害者。

根据从C&C收到的命令,代码可以截取屏幕截图,检索通过Excel,Outlook或Explorer.exe执行的PowerShell代码的另一个阶段,从C&C下载文件并将其保存到“ProgramData”,销毁磁盘驱动C,D,E,F然后重新启动系统,或者只是重启或关闭受害者的机器。

攻击者泄露的信息:

MuddyWater组织人员在构造样本时。无意中将本机路径嵌入office文档中:

• C:\Users\leo\AppData\Local\Temp\Word8.0\MSForms.exd
• C:\Users\poopak\AppData\Local\Temp\Word8.0\MSForms.exd
• C:\Users\Vendetta\AppData\Local\Temp\Word8.0\MSForms.exd
• C:\Users\Turk\AppData\Local\Temp\Word8.0\MSForms.exd

这几个机器名疑似为攻击者设备名。

有意思的是,还发现含有中文字符串的样本:

无法连接到网址,请等待龙…
无法访问本地计算机寄存器
任务计划程序访问被拒绝

IOCs:

MD5

08acd1149b09bf6455c553f512b51085
a9ec30226c83ba6d7abb8d2011cdae14
E5683fb480353c0dec333a7573710748
159238b473f80272fdcd0a8ddf336a91
16ac1a2c1e1c3b49e1a3a48fb71cc74f
1b086ab28e3d6f73c6605f9ae087ad4a
23c82e8c028af5c64cbe37314732ec19
24e1bd221ba3813ed7b6056136237587
2e82e242cb0684b98a8f6f2c0e8a12f3
37f7e6e5f073508e1ee552ebea5d200e
3bb14adb551663fd2328d59f653ba757
3c2a0d6d0ecf06f1be9ad411d06f7ba8
4c5a5c236c9f4480b3d725f297673fad
4f873578956d2790101443f24e4bd4d3
5466c8a099d1d30096775b1f4357d3cf
59502e209aedf80e170e653306ca1553
5a42a712e3b3cfa1db32d9e3d832f8f1
5bd61a94e7698574eaf82ef277316463
5de97ae178888f2dd222bb8a66060ac2
665947cf7037a6772687b69279753cdf
7a2ff07283ddc69d9f34cfa0d3c936d4
7beb94f602e97785370fec2d059d54a5
801f34abbf90ac2b4fb4b6289830cd16
864d6321be50f29e7a7a4bfab746245a
8a36d91ca331f62642dbcafc2ea1b1ab
9486593e4fb5a4d440093d54a3519187
94edf251b5fe7cc19488b5f0c3c3e359
9c6648cedeb3f5d9f6d104e638bd0c3d
9f4044674100a8c28f9ed1b336c337ce
aa1e8d0e1c4d4eb9984124df003ea7f2
aa564e207926d06b8a59ba50ca2c543d
ab4f947f4649b9ec28d182b02778aa69
ad92ccf85ec170f340457d33bbb81df5
b8939fa58fad8aa1ec271f6dae0b7255
bb476622bcb0c666e12fbe4ccda8bbef
be62fc5b1576e0a8491519e10bab931d
bf310319d6ef95f69a45fc4f2d237ed4
c375bbf248592cee1a1999227457c300
c73fc71ee35e99230941f03fc32934d9
c8b0458c384fd34971875b1c753c9c7c
cd371d1d3bd7c8e2110587cfa8b7eaea
ce2df2907ce543438c19cfaf6c14f699
d15aee026074fbd18f780fb51ec0632a
d632c8444aab1b43a663401e80c0bac4
d6acee43d61cbd4bcd7a5bdf4ed9b343
e3e25957b738968befcf2333aa637d97
e5683fb480353c0dec333a7573710748
eb69fb45feb97af81c2f306564acc2da
f00fd318bf58586c29ab970132d1fd2a
f2b5373f32a4b9b3d34701ff973ba69c
f84914c30ae4e6b9b1f23d5c01e001ed
faa4469d5cd90623312c86d651f2d930
Ffb8ea0347a3af3dd2ab1b4e5a1be18a
345b1ea293764df86506f97ba498cc5e
029cb7e622f4eb0d058d577c9d322e92
06178b5181f30ce00cd55e2690f667ac
2b8ab9112e34bb910055d85ec800db3f
47ec75d3290add179ac5218d193bb9a8
befc203d7fa4c91326791a73e6d6b4da
C561e81e30316208925bfddb3cf3360a
132efd7b3bdfb591c1bf2a4e19c710eb
e7a6c57566d9523daa57fe16f52e377e
c0e35c4523a7931f4c99616d6079fd14
245fa82c89875b70c2669921d4ba14d3

File names

%SystemDrive%\ProgramData\EventManager.dll
%SystemDrive%\ProgramData\EventManager.logs
%SystemDrive%\ProgramData\WindowsDefenderService.ini
%SystemDrive%\ProgramData\Defender.sct
%SystemDrive%\ProgramData\DefenderService.inf
%SystemDrive%\ProgramData\WindowsDefender.ini
%SystemDrive%\ProgramData\ZIPSDK\InstallConfNT.vbs
%SystemDrive%\ProgramData\ZIPSDK\ProjectConfManagerNT.ini
%SystemDrive%\ProgramData\WindowsDefenderTask.ini
%SystemDrive%\ProgramData\WindowsDefenderTask.txt
%SystemDrive%\ProgramData\WindowsDefenderTask.xml
%SystemDrive%\ProgramData\DefenderNT\ConfigRegister.vbs
%SystemDrive%\ProgramData\DefenderNT\SetupConf.ini
%SystemDrive%\ProgramData\ASDKiMalwareSDK\ProjectConfSDK.vbs
%SystemDrive%\ProgramData\ASDKiMalwareSDK\SetupConfSDK.ini
%SystemDrive%\ProgramData\FirefoxSDK\ConfigRegisterSDK.ini
%SystemDrive%\ProgramData\FirefoxSDK\ConfigRegisterSDK.vbs
%SystemDrive%\ProgramData\OneDrive.dll
%SystemDrive%\ProgramData\OneDrive.html
%SystemDrive%\ProgramData\OneDrive.ini
%SystemDrive%\ProgramData\WindowsNT\WindowsNT.ini
%SystemDrive%\ProgramData\WindowsNT\WindowsNT.vbs
%SystemDrive%\ProgramData\SYSTEM32SDK\ConfManagerNT.vbs
%SystemDrive%\ProgramData\SYSTEM32SDK\ProjectConfManagerNT.ini
%windir%\System32\Tasks\Microsoft\WindowsDefenderUpdater
%windir%\System32\Tasks\Microsoft\MicrosoftOneDrive
%windir%\System32\Tasks\Microsoft\WindowsDifenderUpdate
%windir%\System32\Tasks\Microsoft\WindowsSystem32SDK
%windir%\System32\Tasks\Microsoft\WindowsDefenderSDK
%windir%\System32\Tasks\Microsoft\WindowsMalwareDefenderSDK
%windir%\System32\Tasks\Microsoft\WindowsMalwareByteSDK

Domains, URLs and IP addresses

http://www.cankayasrc[.]com/style/js/main.php
http://ektamservis[.]com/includes/main.php
http://gtme[.]ae/font-awesome/css/main.php
https://www.adfg[.]ae/wp-includes/widgets/main.php
http://adibf[.]ae/wp-includes/js/main.php
http://hubinasia[.]com/wp-includes/widgets/main.php
https://benangin[.]com/wp-includes/widgets/main.php

104.237.233.60
104.237.255.212
104.237.233.40
5.9.0.155

之前的研究报告:

https://sec0wn.blogspot.com/2018/05/clearing-muddywater-analysis-of-new.html?m=1

A dive into MuddyWater APT targeting Middle-East

Elaborate scripting-fu used in espionage attack against Saudi Arabia Government entity

Falling on MuddyWater

https://blog.trendmicro.com/trendlabs-security-intelligence/another-potential-muddywater-campaign-uses-powershell-based-prb-backdoor/

本文报告:https://securelist.com/muddywater/88059/

发表评论

电子邮件地址不会被公开。 必填项已用*标注