MuddyWater APT组织别名MERCURY 或 Static Kitten,先前曾被美国网络指挥所归因于沙特情报信息与安全部门(MOIS)。近日,科学研究工作人员观查到一项对于土尔其个人组织和行政机构的新活动,并且以高置信度将此活动归因于MuddyWater组织。
概况
MuddyWater组织最少从2017 年逐渐活跃性,先前曾对于遍及英国、欧洲地区、中东地区和东亚的实体线进行了各种各样活动,包含电信网、政府部门(IT 服务项目)、原油和航运业行业。攻击者进行的活动致力于完成下列三个結果之一:特工活动、盗取专利权、勒索病毒进攻。
近日,MuddyWater组织对于土尔其客户进行了一项活动,攻击者在活动中应用故意 PDF 和 Microsoft Office 文本文档 (maldocs) 做为原始感染媒体。这种故意文本文档被装扮成土尔其环境卫生和内务部的合理合法文件。做为进攻的一部分,MuddyWater攻击者应用2个感染链,从传送 PDF 文件逐渐。在第一种状况下,PDF包括一个内嵌式功能键,点击该按键可获得 XLS 文件。PDF文件如下图:
这种文件是非常典型的 XLS 文本文档,含有故意 VBA 宏,这种宏会运行感染全过程并根据建立新的注册表项来创建持续性。根据 PDF 的感染链如下图:
第二个感染链应用 EXE 文件而不是 XLS文件,但仍使用 PowerShell 下载工具、VBScript,并增加了一个新的注册表项以完成持续性。感染链图如下所示:
与旧的活动对比,此活动的一个明显差别是应用canary动态口令来追踪执行命令和相邻系统软件上的后面感染。
归因于
科学研究工作人员依据观测到的性能指标、对策、程序流程和 C2 基础设施建设将这种进攻活动归因于MuddyWater 组织。本次活动展现了MuddyWater组织毁坏总体目标和实行特工活动的工作能力和动因。