MuddyWater Campaign传播基于Powershell的PRB-Backdoor

  • A+
所属分类:网络安全新闻

趋势科技发现了一个新的攻击依赖于与MuddyWater APT相关的武器化的Word文档和PowerShell脚本。

趋势科技的安全专家发现了一个新攻击,它依赖于与MuddyWater网络间谍活动相关的武器化的Word文档和PowerShell脚本。

MuddyWater Campaign传播基于Powershell的PRB-Backdoor

第一个MuddyWater活动在2017年底观测到,随后来自Palo Alto Networks的研究人员正在调查中东地区发生的一波神秘的攻击事件。

由于在2017年2月至10月期间针对沙特阿拉伯,伊拉克,以色列,阿拉伯联合酋长国,格鲁吉亚,印度,巴基斯坦,土耳其和美国的实体发起的这些袭击事件的混淆,专家们称这次活动为“MuddyWater”至今。

威胁演员使用基于PowerShell的第一阶段后门命名为POWERSTATS,在黑客改变工具和技术的时间。

2018年3月,FireEye的专家发现了由TEMP.Zagros团队(专家用来追踪MuddyWater的另一个名称)开展的大规模网络钓鱼活动 ,其目标是亚洲和中东地区,从2018年1月到2018年3月。

攻击者使用通常具有地缘政治主题的武器化文件,例如声称来自巴基斯坦国民议会或银行技术发展与研究所的文件。

这些攻击与FIN7组错误地联系在一起,当时帕洛阿尔托发现第一个活动报告称,提供FIN7连接的DNSMessenger工具的C&C服务器也参与了MuddyWater攻击。

专家发现的新竞选活动与同一威胁主持人发现的以前竞选活动有许多相似之处,攻击者试图通过执行PowerShell脚本的武器化Word文档分发后门。

“在2018年5月,我们发现了一个可能与此活动有关的新样本(检测为W2KM_DLOADR.UHAOEEN)。与以前的广告系列一样,这些示例再次涉及嵌入了恶意宏的Microsoft Word文档,该宏能够执行导致后门有效内容的PowerShell(PS)脚本。“读取趋势科技发布的分析。

“分析样本中的一个显着差异是它们不直接下载Visual Basic Sc​​ript(VBS)和PowerShell组件文件,而是将所有脚本编码在文档本身上。这些脚本将被解码并删除,以执行有效负载,而无需下载组件文件。“

与以前的广告系列不同,示例不直接下载恶意脚本,因为它们在文档中编码。

MuddyWater新

该活动中使用的诱饵文件声称是奖励或促销,这种情况表明黑客正瞄准其他行业的实体,

一旦受害者打开文档,他就会被诱使让宏查看其全部内容。

“一旦宏被启用,它将使用 Document_Open() 事件来自动执行恶意例程,如果使用相同模板的新文档被打开或者当模板本身作为document0打开时。”继续分析。

该代码执行两个PowerShell脚本,第二个被攻击者用来放置受感染计算机上的各种组件。

最后一个活动中提供的最后一个有效载荷是PRB-BackdoorRAT,它由命令和控制(C&C)服务器以 outl00k [。] net控制。

后门可以执行各种各样的命令,包括从安装的浏览器收集浏览历史记录,浏览浏览器中的密码,读取和写入文件,执行shell命令,记录击键和捕获屏幕截图。

“如果这些样本确实与MuddyWater相关,这意味着MuddyWater背后的威胁演员不断发展他们的工具和技术,使他们更有效和持久。”Trend Micro总结道。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: