关键词
MuddyWater、网络间谍活动、知识产权窃取攻击、中东地区
国防
教育
能源
金融服务
政府和行政机构
医疗
高科技
跨国组织
媒体
图1:受MuddyWater影响的国家
MuddyWater的武器库非常庞大,该组织会利用各种已知漏洞、使用大量工具发动攻击。
在ATT&CK矩阵中的初始访问阶段,该组织通常会利用鱼叉式钓鱼攻击诱骗受害者打开隐藏在商业文件共享服务中的恶意文档。获得初始访问权限后,他们通常会释放WebShell来获取受感染主机上的本地管理员访问权限。在受害主机上通过使用工具如Mimikatz转储凭据。为了扩大攻击范围,MuddyWater通过在内网利用内置程序或部署相关工具进行横向移动。
MuddyWater通常使用DNS协议与C2服务器进行通信,通讯工具会使用PowerShell,vpnui.exe(Ligolo的专有版本)和远控软件(包括ScreenConnect,Remote Utilities和eHorus)。
下图为Microsoft发现的一个MuddyWater攻击链实例。
图2:MuddyWater攻击链(来源:Microsoft)
PowGoop DLL Loader:PowGoop 恶意软件是一种恶意 DLL 加载程序。它会伪装成合法的Google Update可执行文件。 Small Sieve:Small Sieve是一个简单的Python后门,常用于分发Nullsoft Scriptable Install System(NSIS)安装程序。 Canopy:Canopy 是一种间谍软件。它收集受害者的用户名、计算机名称和 IP 地址,并将其发送给 MuddyWater 组织。Canopy 恶意软件也称为 Starwhale 恶意软件。 Mori:Mori 是一个后门,它使用DNS隧道与该组织的 C2 基础设施进行通信。 POWERSTATS:POWERSTATS是一个运行PowerShell脚本以保持对受害者系统持久访问权的后门。
图3:SOCRadar 提供的 MuddyWater 相关工具和漏洞利用库
图4:MuddyWater行动时间线
图5:MuddyWater针对的国家
2020年9月流沙行动以色列:据 ClearSky 报道,MuddyWater 针对许多著名的以色列组织发起攻击。在这个特定的行动中,安全研究人员观察到攻击者使用Shamoon的变体来加密数据。不过最终发现其使用Shamoon的目的不是部署勒索软件,而是扰乱业务行为。
图6:流沙行动
2021 年 3 月地球维塔拉行动:根据趋势科技的数据,阿塞拜疆、巴林、以色列、沙特阿拉伯和阿拉伯联合酋长国是该行动的目标地区。政府机构、学术界和旅游业则是这些攻击目标的主要受害领域。
2022 年 1 月,有网络安全研究人员报告称MuddyWater 针对的是土耳其私人机构和政府组织。该组织在活动期间使用了多个恶意PDF和MS Office文档。在鱼叉式钓鱼攻击的诱饵文件中,攻击者试图说服受害者相信这些文件来自土耳其卫生部和内政部。
图7:土耳其行动中使用的恶意PDF
图8:来自MuddyWater以色列攻击的邮件实例
MuddyWater利用鱼叉式钓鱼攻击。请为机构内员工提供必要的安全意识培训。 通过攻击面管理解决方案了解面向外部环境的数字资产。 定期安装安全补丁和软件更新。 在整个网络中应用最小特权原则,尤其是关键系统和服务。 使用具备最佳实践的安全域控设备 (DC)。 启用多重身份验证 (MFA) 以防止横向移动。 请使用文末附录内的 IOCs 并采取必要的缓解措施。
涉及MITRE ATT&CK技术一览:
技术 | ATT&CK编号 |
侦察阶段 | |
收集受害者身份信息: 电子邮箱地址 | T1589.002 |
工具开发 | |
获取基础设施:Web 服务 | T1583.006 |
获取功能:工具 | T1588.002 |
初始访问 | |
钓鱼攻击:鱼叉式钓鱼邮件附件 | T1566.001 |
钓鱼攻击:鱼叉式钓鱼邮件链接 | T1566.002 |
程序执行 | |
WMI管理 | T1047 |
命令与脚本解释器:Powershell | T1059.001 |
命令与脚本解释器:CMD | T1059.003 |
命令与脚本解释器:Visual Basic | T1059.005 |
命令与脚本解释器:Python | T1059.006 |
命令与脚本解释器:JavaScript | T1059.007 |
客户端程序执行的利用 | T1203 |
用户侧程序执行:恶意链接 | T1204.001 |
用户侧程序执行:恶意文件 | T1204.002 |
内部进程通信:COM | T1559.001 |
内部进程通信:动态数据交换 | T1559.002 |
持久化 | |
计划任务:计划任务 | T1053.005 |
Office程序启动项:Office模板宏 | T1137.001 |
开机自启动项: 注册表自启动项/自启动文件夹 | T1547.001 |
权限提升 | |
滥用提权控制机制: 绕过UAC | T1548.002 |
获取本地密码存储凭证 | T1555 |
获取Web浏览器密码凭证 | T1555.003 |
防御机制绕过 | |
文件或信息混淆 | T1027 |
密码学 | T1027.003 |
分发后编译 | T1027.004 |
伪装: 匹配合法姓名或地址 | T1036.005 |
文件或信息解混淆/解码 | T1140 |
系统二进制文件代理执行: CMSTP | T1218.003 |
系统二进制文件代理执行: Mshta | T1218.005 |
系统二进制文件代理执行: Rundll32 | T1218.011 |
执行护栏 | T1480 |
破坏防御: 禁用或修改工具 | T1562.001 |
凭证获取 | |
操作系统凭证转储: LSASS内存获取 | T1003.001 |
操作系统凭证转储: LSA密码 | T1003.004 |
操作系统凭证转储: 缓存域凭证 | T1003.005 |
不安全的凭证存储: 在文件中存储凭证 | T1552.001 |
发现 | |
系统网络配置发现 | T1016 |
系统所有者/用户发现 | T1033 |
系统网络连接发现 | T1049 |
进程发现 | T1057 |
系统信息发现 | T1082 |
文件与目录发现 | T1083 |
账户发现:域账户 | T1087.002 |
软件发现 | T1518 |
安全软件发现 | T1518.001 |
敏感信息收集 | |
截屏 | T1113 |
打包收集的信息:通过工具打包 | T1560.001 |
命令与控制 | |
应用层协议:Web协议 | T1071.001 |
代理:外部代理 | T1090.002 |
Web服务: 双向通信 | T1102.002 |
多阶段通信 | T1104 |
切入工具转移 | T1105 |
数据编码:标准编码 | T1132.001 |
数据编码:非标准编码 | T1132.002 |
远控软件 | T1219 |
信息渗出 | |
通过C2信道渗出信息 | T1041 |
MD5: a27655d14b0aabec8db70ae08a623317 SHA-1: 7649c554e87f6ea21ba86bb26ea39521d5d18151 SHA-256: 2c92da2721466bfbdaff7fedd9f3e8334b688a88ee54d7cab491e1a9df41258f 文件类型: Win32 DLL 文件大小: 88.50 KB (90624 bytes)
MD5: cec48bcdedebc962ce45b63e201c0624 SHA-1: 81f46998c92427032378e5dead48bdfc9128b225 SHA-256: dd7ee54b12a55bcc67da4ceaed6e636b7bd30d4db6f6c594e9510e1e605ade92 文件类型: Win32 DLL 文件大小: 91.50 KB (93696 bytes)
104.208.16[.]94:443 (TCP) 20.42.65[.]92:443 (TCP) 20.42.73[.]29:443 (TCP)
MD5: 860f5c2345e8f5c268c9746337ade8b7 SHA-1: 6c55d3acdc2d8d331f0d13024f736bc28ef5a7e1 SHA-256: 9d50fcb2c4df4c502db0cac84bef96c2a36d33ef98c454165808ecace4dd2051 文件类型: Win32 DLL 文件大小: 94.50 KB (96768 bytes)
20.189.173[.]20:443 (TCP) 20.189.173[.]21:443 (TCP) 20.42.73[.]29:443 (TCP)
MD5: 15fa3b32539d7453a9a85958b77d4c95 SHA-1: 11d594f3b3cf8525682f6214acb7b7782056d282 SHA-256: b75208393fa17c0bcbc1a07857686b8c0d7e0471d00a167a07fd0d52e1fc9054 文件类型: Win32 EXE 文件大小: 16.21 MB (16999598 bytes)
13.107.4[.]50:80 (TCP) 149.154[.]167.220:443 (TCP) 192.168.0[.]15:137 (UDP) 23.216.147[.]64:443 (TCP) 23.216.147[.]76:443 (TCP) a83f:8110:0:0:1400:1400:2800[:]3800:53 (UDP)
MD5: 5763530f25ed0ec08fb26a30c04009f1 SHA-1: 2a6ddf89a8366a262b56a251b00aafaed5321992 SHA-256: bf090cf7078414c9e157da7002ca727f06053b39fa4e377f9a0050f2af37d3a2 文件类型: Win32 EXE 文件大小: 16.46 MB (17263089 bytes)
13.107.4[.]50:80 (TCP) 192.168.0[.]1:137 (UDP) 192.168.0[.]25:137 (UDP) 20.99.132[.]105:443 (TCP) 209.197.3[.]8:80 (TCP) 23.216.147[.]64:443 (TCP) a83f:8110:0:0:7f00:0:0[:]0:53 (UDP) a83f:8110:492a:d801:d1df:1328:492a[:]d801:53 (UDP) a83f:8110:5067:d801:beac:bf78:cce1[:]d301:53 (UDP)
MD5: b0ab12a5a4c232c902cdeba421872c37 SHA-1: a8e7659942cc19f422678181ee23297efa55fa09 SHA-256: 026868713d60e6790f41dc7046deb4e6795825faa903113d2f22b644f0d21141 文件类型: MS Excel Spreadsheet 文件大小: 247.00 KB (252928 bytes)
88.119.170[.]124:80 (TCP)
MD5: 6cef87a6ffb254bfeb61372d24e1970a SHA-1: e21d95b648944ad2287c6bc01fcc12b05530e455 SHA-256: 4b2862a1665a62706f88304406b071a5c9a6b3093daadc073e174ac6d493f26c 文件类型: MS Excel Spreadsheet 文件大小: 249.00 KB (254976 bytes)
5.199.133[.]149:80 (TCP)
MD5: 0431445d6d6e5802c207c8bc6a6402ea SHA-1: 3765c1ad8a1d936aad88255aef5d6d4ce24f94e8 SHA-256: 3098dd53da40947a82e59265a47059e69b2925bc49c679e6555d102d1c6cbbc8 文件类型: Win32 DLL 文件大小: 200.65 MB (210397496 bytes)
MD5: f5dee1f9cd47dc7bae468da9732c862e SHA-1: 5273ee897e67fc01ee5fef08c37400cb4ee15958 SHA-256: 6f8226d890350943a9ef4cc81598e0e953d8ba9746694c0b7e3d99e418701b39 文件类型: Win32 EXE 文件大小: 119.00 KB (121856 bytes)
MD5: e75443a5e825f69c75380b6dc76c6b50 SHA-1: 142b5753c608c65e702e41b52abdeb96cb2f9294 SHA-256: c514c3f293f0cb4c23662a5ab962b158cb97580b03a22b82e21fa3b26d64809c 文件类型: Win32 EXE 文件大小: 92.50 KB (94720 bytes)
13.107.4.50:80 (TCP) a83f:8110:e0:ffff:e0:ffff:e0[:]ffff:53 (UDP)
编辑|倪锴
审校|何双泽、王仁
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。