活躍的APT組織正針對土耳其私人組織和政府展開攻擊
MuddyWater APT組織又名MERCURY 或 Static Kitten��,此前曾被美國網(wǎng)絡(luò)司令部歸因于伊朗情報(bào)與安全部(MOIS)�����。近日���,研究人員觀察到一項(xiàng)針對土耳其私人組織和政府機(jī)構(gòu)的新活動(dòng)�,并以高置信度將此活動(dòng)歸因于MuddyWater組織���。
簡況
MuddyWater組織至少從2017 年開始活躍�����,此前曾針對遍布美國�、歐洲�、中東和南亞的實(shí)體開展了各種活動(dòng),包括電信�、政府(IT 服務(wù))、石油和航空業(yè)領(lǐng)域�����。攻擊者開展的活動(dòng)旨在實(shí)現(xiàn)以下三個(gè)結(jié)果之一:間諜活動(dòng)�、竊取知識產(chǎn)權(quán)、勒索軟件攻擊��。
近日��,MuddyWater組織針對土耳其用戶開展了一項(xiàng)活動(dòng),攻擊者在活動(dòng)中使用惡意 PDF 和 Microsoft Office 文檔 (maldocs) 作為初始感染媒介����。這些惡意文檔被偽裝成土耳其衛(wèi)生和內(nèi)政部的合法文件。作為攻擊的一部分�,MuddyWater攻擊者使用兩個(gè)感染鏈,從傳遞 PDF 文件開始���。在第一種情況下,PDF包含一個(gè)嵌入式按鍵���,單擊該按鈕可獲取 XLS 文件�。PDF文件如下圖:
這些文件是典型的 XLS 文檔�,帶有惡意 VBA 宏,這些宏會啟動(dòng)感染過程并通過創(chuàng)建新的注冊表項(xiàng)來建立持久性��?����;?PDF 的感染鏈如下圖:
第二個(gè)感染鏈?zhǔn)褂?EXE 文件而不是 XLS文件���,但仍使用 PowerShell 下載器�����、VBScript���,并添加了一個(gè)新的注冊表項(xiàng)以實(shí)現(xiàn)持久性���。感染鏈圖如下:
與舊的活動(dòng)相比,此活動(dòng)的一個(gè)顯著區(qū)別是使用canary令牌來跟蹤代碼執(zhí)行和鄰近系統(tǒng)上的后續(xù)感染���。
歸因
研究人員根據(jù)觀察到的技術(shù)指標(biāo)�����、策略�����、程序和 C2 基礎(chǔ)設(shè)施將這些攻擊活動(dòng)歸因于MuddyWater 組織���。此次活動(dòng)展示了MuddyWater組織破壞目標(biāo)和執(zhí)行間諜活動(dòng)的能力和動(dòng)機(jī)。
新聞標(biāo)題:活躍的APT組織正針對土耳其私人組織和政府展開攻擊
當(dāng)前鏈接:
http://uogjgqi.cn/article/codgpjj.html
掃二維碼與項(xiàng)目經(jīng)理溝通
我們在微信上24小時(shí)期待你的聲音
解答本文疑問/技術(shù)咨詢/運(yùn)營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流
