攻防最前线：伊朗黑客组织MuddyWater新添黑客武器

据外媒报道，伊朗黑客组织MuddyWater APT在他们的黑客武器库中添加了新攻击手段。 这个APT组织最初于2017年被发现，主要目标为中东和亚洲地区。 伊朗情报和安全部将黑客小组分成了两个小组。第一个小组专门攻击目标系统，另一个小组使用鱼叉式网络钓鱼进行社会工程操作。

最近，Clear Sky的研究人员 观察到 组织的影响范围广泛，其中包括政府、军方、电信和学术界。 研究人员发现，恶意文档包含嵌入式宏，一旦受害者打开文件，就会下载有效负载，最终利用远程代码执行漏洞CVE-2017-0199，允许攻击者使用Windows OLE（对象连接与嵌入）中存在的漏洞。

根据最近的活动，黑客进行了鱼叉式网络钓鱼攻击， 邮件中的恶意文件伪装成联合国在塔吉克斯坦的一项发展计划的官方文件。

一旦受害者打开该文件，将创建新的VBS文件，该文件使用多个VBE、JavaScript和Base64进行编码。此恶意软件从IP地址185.244.149[.]218进行第二阶段的下载，然后与几个恶意文件进行通信，并将其中一个文件放入用户设备。

当用户点击文件后，会出现一个错误消息，然后出现另一个错误消息让受害者恢复文件内容。同时，恶意软件识别漏洞CVE-2017-0199，该漏洞允许远程攻击者通过文档执行任意代码。 在受害者确认第二个错误消息之后，该漏洞将被激活，Word软件将与C2服务器通信。

研究人员还在命令与控制服务器通信过程中发现了一个RAT文件，并使用PowerShell脚本提取了RAT文件。这是一个初始脚本，它要求受损的计算机向攻击者报告系统上运行的进程。然后，它向C2服务器发送数十个通信请求，以便接收共享被盗数据的命令。

IoC

f5ef4a45e19da1b94c684a6c6d51b86aec622562c45d67cb5aab554f21eb9061

d5b7a5ae4156676b37543a3183df497367429ae2d01ef33ebc357c4bdd9864c3

d77d16c310cce09b872c91ca223b106f4b56572242ff5c4e756572070fac210f

98f0f2c42f703bfbb96de87367866c3cced76d5a8812c4cbc18a2be3da382c95

200c3d027b2d348b0633f8debbbab9f3efc465617727df9e3fdfa6ceac7d191b

951585840a07a6496b0270f1028281fcb65d5b9e9a6ed613ca8809b258ed729f

1dae45ea1f644c0a8e10c962d75fca1cedcfd39a88acef63869b7a5990c1c60b

10157ab25bab7891068538111333a2101b987e930d5deb7bb60ed63cf7ca197d

0a9d295016417b00457d4a031b5c52eea41bcde3465ac517767d8795a6a213eb

20bf83bf516b12d991d38fdc014add8ad5db03907a55303f02d913db261393a9

e2867e2255cad213fcc5752a7062882e92870c57

8d1464e0cac7ea8f37e83fd142212c95db20fe77

4fe389bc1ea85896b4ebb6fe26aa40a6e3f8e9ca

592f0d9d7185eadab0509fdafdc305ab

65978dd3d6b3a518f465676aa6bd876e

bb6fda2cdc852112544d2598a784d04f

6cb076f1f42573c5c43083a89bcfe442

BEB6A4354549AE4F5579F25865EA8967

66[.]219[.]22[.]235

83[.]171[.]238[.]62

185[.]185[.]25[.]175

185[.]244[.]14[.]218

hXXp://185[.]185[.]25[.]175/sDownloads/hXXp://185[.]185[.]25[.]175/upl[.]php

hXXp://185[.]185[.]25[.]175/ref45[.]php

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。