MuddyWater APT組織又名MERCURY 或 Static Kitten，此前曾被美國網(wǎng)絡(luò)司令部歸因于伊朗情報與安全部(MOIS)。近日，研究人員觀察到一項針對土耳其私人組織和政府機構(gòu)的新活動，并以高置信度將此活動歸因于MuddyWater組織。

簡況

MuddyWater組織至少從2017 年開始活躍，此前曾針對遍布美國、歐洲、中東和南亞的實體開展了各種活動，包括電信、政府(IT 服務(wù))、石油和航空業(yè)領(lǐng)域。攻擊者開展的活動旨在實現(xiàn)以下三個結(jié)果之一：間諜活動、竊取知識產(chǎn)權(quán)、勒索軟件攻擊。

近日，MuddyWater組織針對土耳其用戶開展了一項活動，攻擊者在活動中使用惡意 PDF 和 Microsoft Office 文檔 (maldocs) 作為初始感染媒介。這些惡意文檔被偽裝成土耳其衛(wèi)生和內(nèi)政部的合法文件。作為攻擊的一部分，MuddyWater攻擊者使用兩個感染鏈，從傳遞 PDF 文件開始。在第一種情況下，PDF包含一個嵌入式按鍵，單擊該按鈕可獲取 XLS 文件。PDF文件如下圖：

這些文件是典型的 XLS 文檔，帶有惡意 VBA 宏，這些宏會啟動感染過程并通過創(chuàng)建新的注冊表項來建立持久性?；?PDF 的感染鏈如下圖：

第二個感染鏈使用 EXE 文件而不是 XLS文件，但仍使用 PowerShell 下載器、VBScript，并添加了一個新的注冊表項以實現(xiàn)持久性。感染鏈圖如下：

與舊的活動相比，此活動的一個顯著區(qū)別是使用canary令牌來跟蹤代碼執(zhí)行和鄰近系統(tǒng)上的后續(xù)感染。

歸因

研究人員根據(jù)觀察到的技術(shù)指標、策略、程序和 C2 基礎(chǔ)設(shè)施將這些攻擊活動歸因于MuddyWater 組織。此次活動展示了MuddyWater組織破壞目標和執(zhí)行間諜活動的能力和動機。