利用虛假簡歷進行攻擊，疑似MuddyWater再次活躍

MuddyWater

MuddyWater是2017年9月曝光的一個APT組織，自該組織曝光以來，活躍程度不減反增，擴大了攻擊範圍，攻陷了眾多組織機構，深信服安全團隊一直在關注其活動歷程。起初，其受害者主要分佈在中東地區；到2018年，他們感興趣的領域開始轉變，巴基斯坦、約旦、土耳其等地區開始遭受大量的魚叉式網路釣魚攻擊，攻擊目標集中在政府、軍事、教育、電信等組織機構，攻擊手段逐步升級。

近日，深信服安全團隊獲取到一例MuddyWater組織的樣本，與該組織過去常用的方法一樣，該樣本仍然是透過惡意WORD文件進行攻擊，如下所示：

MuddyWater善於使用社工手段引誘目標啟動WORD文件中的惡意宏程式碼，並使用攻擊成功的主機作為跳板，在目標內部進行橫向滲透。雖然國內地區尚未發現MuddyWater的攻擊痕跡，但是廣大使用者依舊不可掉以輕心，需謹慎處理來歷不明的郵件附件！

樣本分析

該APT樣本使用的載入Payload的方式，如下所示：

在WORD文件中包含了惡意宏程式碼，使用WORD自帶的編輯器開啟裡面的宏程式碼，動態除錯宏程式碼，解密出PowerShell呼叫Payload程式碼命令：

 

解密生成Payload程式碼，如下所示：

將生成的Payload程式碼被放到d0manPm.pNg檔案中，然後解密Payload程式碼：

設定相應的CLSID登錄檔項：

再利用zipfldr.dll啟動登錄檔CLSID執行之前解密的PowerShell命令：

設定為自啟動登錄檔項：

透過GET請求遠端伺服器URL：http://46.166.176.242/main.php：

透過cmd.exe程式呼叫powershell.exe程式，執行相應的命令：

Payload程式碼主要用於收集使用者名稱、使用者所在域名、程式相關資訊：

傳送到遠端伺服器，下載檔案：

從記憶體中解密出來的遠端伺服器URL地址：http://89.33.246.82/main.php：

安全建議

不管攻擊者的入侵計劃是多麼的縝密，總會由於技術的限制留下些許蛛絲馬跡，譬如軟體的植入、網路流量的產生，這些痕跡可能並不足以作為APT攻擊的證據，但一旦發現，就必須提高警惕，並及時的儲存現場，通知安全相關人員，對疑似感染的主機進行隔離和檢查。同時也要注意日常防範措施，在思想上和技術上雙管齊下：

1、加強人員安全防範意識。不要開啟來歷不明的郵件附件，對於郵件附件中的檔案要謹慎執行，如發現指令碼或其他可執行檔案可先使用防毒軟體進行掃描；

2、升級office系列軟體到最新版本，不要隨意執行不可信文件中的宏；

3、部署分層控制，實現深度網路安全防禦，構建端到端的立體安全防護網路。在網路規劃時需要充分考慮終端接入安全、內網安全防護、應用系統安全等多個維度，並根據不同的業務需求和安全等級進行合理的分割槽隔離；

4、重視網路資料、系統執行狀態的審計和分析。嚴格把控系統的訪問許可權，持續對資料流的進出進行有效的監控，及時更新安全補丁，定時進行安全配置基線的審視和系統安全風險的評估，及時發現可以行為並透過通訊線路加密、應用層安全掃描與防護、隔離等有效技術手段將可能的安全風險扼殺在搖籃裡。

IOC

http://46.166.176.242/main.php

http://89.33.246.82/main.php

MD5

1633F9A283EE5A888CA623B87837B5B6