APT MuddyWater Tajikistan
MuddyWater APT组织针对塔吉克斯坦某公司的钓鱼活动 奖励¥100
微步情报局 2019-08-30 14:35:44 1106人浏览
情报提交人:
匿名用户
情报简介:

团伙背景描述

MuddyWater(又称为污水,T-APT-14)是疑似来自伊朗的APT组织,主要攻击目标为中东地区政府机构,但在近期的公开报告中显示,18年后,中东以外的地区也陆续出现了Muddywater的活动迹象,比如土耳其,巴基斯坦等地。

 

该组织最早于2017年9月MalwareBytes公开披露,同年11月paloalto披露针对中东的攻击,并将该组织命名为MuddyWater,之后活动踪迹开始被国内外安全机构公开披露。

 

MuddyWater使用诱惑性的鱼叉文档作为攻击入口,引导用户启用宏,利用宏释放后续后续Payload进行攻击,在早期报道中,MuddyWater主要使用powershell后门。其利用VBS,VBA, PowerShell,Python,c#等脚本后门以及RAT木马。

 

BlackWater活动的主要发起者,自从BlackWater活动之后MuddyWater APT组织开始不断优化和调整自身的攻击手法,例如开始不再广泛采用模糊化背景作为诱饵文档,而是做一个假的提示信息图片来遮挡文档正文内容.在恶意宏里面不再通过启动项直接启动powershell载荷,而是使用一个硬编码处理后的VBE文件,将VBE文件写入自启动项,或者将其放入启动文件夹中,在VBE文件中重新释放PowerShell载荷以进行侦查和后门的活动。

 

 在最新的活动中该组织恢复了部分以往的手法,对于宏的硬编码得以加强



目标行业:
投资公司

奖励计划获奖情报所有权归微步在线所有。

微步在线有权对该情报进行使用、编辑、存储、复制、修改、创建衍生作品、交流、发布、公开执行、公开显示。

匿名用户 2019-08-30 14:15:59 回复
他们的js脚本也很有趣
匿名用户 2019-08-30 13:46:47 回复
cool