疑似MuddyWater APT组织针对伊拉克移动运营商Korek Telecom的最新攻击活动分析

背景

近期，360威胁情报中心截获到一个针对伊拉克移动运营商（Korek Telecom）的定向攻击样本。该运营商是伊拉克发展最快的移动公司，服务于伊拉克的18个省份，为企业、政府和个人用户提供服务。攻击样本使用鱼叉式钓鱼邮件进行投递：诱导受害者打开附件Office Word文档，并启用恶意宏。恶意宏代码最终会释放执行PowerShell 后门，从而实现对受害者计算机的远程控制。360威胁情报中心经过溯源和关联后发现，该攻击活动疑似与MuddyWater APT组织相关，并溯源和分析了多个与之相关的恶意样本。

MuddyWater APT组织可能来自伊朗 ^[1] ，其相关活动可追溯到2017年初，其主要针对政府机构、通信和石油公司。2017年11月，Palo Alto在对多个攻击进行关联分析后，将该组织命名为MuddyWater ^[2] 。进入2018年后，其目标地区不再局限于伊朗和沙特，更是拓展到了亚洲、欧洲和非洲 ^[3] ，目标性质也涵盖了军事实体、教育机构等。

样本分析

钓鱼邮件

攻击者伪装为公司内部人员，在邮件中提到3月报告有错误，并指出在附件中有详细描述，从而诱使受害者下载并打开附件中的诱饵文档：

通过收件人邮箱@korektel.com ，我们发现该受害者邮箱是伊拉克移动运营商Korek企业邮箱：

考虑到邮件相关内容与公司日常业务有关，因此我们怀疑本次攻击活动是针对该企业的一次定向攻击活动。

Dropper

附件中的Office Word文档含有恶意的宏代码，通过模糊化文档背景内容来诱导受害者启动宏：

一旦受害者启动宏，恶意宏代码便会执行，随后弹出虚假报错窗口，从而误导受害者：

恶意宏代码隐藏在窗体中，猜测是为了增加检测的难度：

宏代码将PowerShell启动脚本写入注册表HKEY_CURRENT_USER\Software\Classes\CLSID\{769f9427-3cc6-4b62-be14-2a705115b7ab}\Shell\Manage\command，并在启动项下写入数据，当受害者用户重启或登录系统都会执行该PowerShell：

之后将配置文件写入c:\windows\temp\picture.jpg：

最后释放c:\windows\temp\icon.ico，该文件用于后续启动PowerShell进程：

PowerShell

PowerShell经多层混淆以干扰分析人员分析，经处理后的代码如下：

代码首先从c:\windows\temp\picture.jpg读取配置文件，经Base64解码处理后执行：

第二阶段的PowerShell脚本如下：

可见脚本依旧混淆严重，经多层解混淆后得到PowerShell后门，该后门为MuddyWater常用的POWERSTATS后门：

POWERSTATS后门

后门在运行时首先获取计算机系统名、计算机名、用户名以及IP等信息：

当前计算机公网IP通过访问icanhazip.com获取：

将获取的信息以“**”链接，并加密处理：

之后与C2（46.105.84.146）通信，若返回数据为”done”则继续执行：

获取的信息将被加密发送到C2，以获取远程命令：

命令分发函数如下：

命令功能描述如下：

溯源与关联

360威胁情报中心通过对此次攻击活动的TTPs以及木马进行关联分析后发现，此次攻击活动疑似与MuddyWater APT组织相关。

TTPs

本次攻击活动手法与之前MuddyWater的攻击活动相似，诱饵文档都利用模糊图片诱导受害者启用宏，且宏在启动后都会弹出错误提示框误导用户。卡巴斯基 ^[3] 曾曝光多个MuddyWater攻击样本如下：

可见其诱饵文档手法与本次攻击活动基本一致。

PowerShell后门

本次攻击使用的是MuddyWater组织常用的POWERSTATS后门：

大数据关联

样本的C2信息在360威胁情报分析平台（ti.360.net）已被打上MuddyWater相关标签：

拓展

通过公开威胁情报信息关联，360威胁情报中心发现多个疑似MuddyWater组织近期发起的攻击活动，相关信息如下。

相同的POWERSTATS后门

Gladiator_CRK.doc

基于公开威胁情报信息关联到与本次攻击活动后续后门相同的另外两个诱饵文档。通过其诱饵文档内容，我们发现该攻击活动目标疑似与伊拉克库尔德斯坦有关：

新的PowerShell后门

与MuddyWater组织惯用手法一致，通过背景内容的模糊化来诱导用户启用宏：

与之前的样本类似，宏隐藏在窗体中。宏代码将释放配置文件到C:\ProgramData\Win32ApiSyncLog.txt，并执行文件C:\ProgramData\Win32ApiSync.bat。之后再在启动目录下释放Win32ApiSyncTskSchdlr.bat用于把Win32ApiSync.bat添加到计划任务启动：

Win32ApiSync.bat利用PowerShell读取执行Win32ApiSyncLog.txt，经多层去混淆后得到最终的PowerShell后门如下：

此后门似乎是重写的新后门，但其与之前使用的后门也具有较大的相似性，比如都会把获取的计算机基本信息以“*”连接后再计算MD5：

然后与C2（94.23.148.194/serverScript/clientFrontLine/helloServer.php）尝试通信，当C2返回“BYE”时则重复尝试上线请求，否则进行后续操作：

之后将获取的加密信息发送到C2（ http://94.23.148.194/serverScript/clientFrontLine/getCommand.php）以获取指令，获取的指令将被保存到全局变量gLobAl:GetCMdREsULt中：

指令执行后的结果将被发送到：94.23.148.194/serverScript/clientFrontLine/setCommandResult.php

总结

MuddyWater组织从被发现至今有两年左右的时间，期间该组织就实施了大量的攻击行动，并在攻击过程中使用了多种公开的或自有的恶意程序。攻击者通过不断改进他们的 工具 库，以减少被安全公司发现的可能性。

该组织很擅长社会工程学，通过向目标定向发送各类诱饵文档进行攻击，诱饵文档通常通过恶意宏来执行后续代码。这种攻击方式需要更多的用户交互，尽管这样会降低其攻击的成功率，但可以通过更有针对性的邮件内容和更具迷惑性的文档信息来提高成功率。此外，相对于使用Office 0day，这类攻击具有很好的成本优势，因此仍被许多攻击组织大量采用。企业用户应尽可能小心打开来源不明的文档，如有需要可通过打开Office Word文档中的：文件-选项-信任中心-信任中心设置-宏设置，来禁用一切宏代码执行。

目前，基于360威胁情报中心的威胁情报数据的全线产品，包括360威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、360 NGSOC等，都已经支持对此类攻击的精确检测。

IOC

参考链接

1. https://reaqta.com/2017/11/muddywater-apt-targeting-middle-east/
2. https://unit42.paloaltonetworks.com/unit42-muddying-the-water-targeted-attacks-in-the-middle-east/
3. https://securelist.com/muddywater/88059/
4. https://securityaffairs.co/wordpress/78748/apt/muddywater-infection-chain.html
5. https://twitter.com/360TIC/status/1108616188173520896