【安全资讯】伊朗黑客组织MuddyWater通过钓鱼攻击瞄准以埃关键基础设施

概要：

近期，网络安全公司ESET披露了一起由伊朗背景的黑客组织MuddyWater发起的长期网络间谍活动。该活动自2024年9月持续至2025年3月，通过精心设计的钓鱼邮件，主要针对以色列和埃及的关键基础设施，特别是技术、工程、地方政府、教育和制造领域的组织机构。攻击者利用伪装成经典“贪吃蛇”游戏的恶意软件，展示了其在规避检测和持久化方面的技术演进，对国家安全和行业安全构成严重威胁。

主要内容：

此次攻击的核心是名为MuddyViper的新型后门程序。攻击者通过鱼叉式钓鱼邮件投递带有恶意链接的PDF附件，诱使目标从OneHub、Mega等免费文件共享平台下载安装程序。MuddyViper能够窃取Windows登录凭证、浏览器数据、收集系统信息、传输文件以及执行文件和Shell命令，功能全面且危害巨大。

攻击成功的关键在于其使用的自定义加载器Fooder。该加载器巧妙地模仿了“贪吃蛇”游戏的逻辑，结合“Sleep”API调用，实现了反射式内存加载，将MuddyViper注入内存执行。这种设计旨在延迟恶意代码的执行，从而规避自动化分析系统的检测，体现了攻击者在反检测技术上的显著进步。

在初始入侵得手后，MuddyWater进一步部署了多款凭证窃取工具，包括针对Chromium浏览器的CE-Notes、用于暂存和验证被盗凭证的LP-Notes，以及从Chrome、Edge、Firefox和Opera浏览器窃取登录数据的Blub。这一系列工具的组合使用，使得攻击者能够系统性地窃取大量敏感信息。

ESET指出，此次行动显示出MuddyWater在技术上的明显进化，包括更高的攻击精度、更具战略性的目标选择以及更先进的工具集。该组织与伊朗情报和安全部有关联，自2017年已知以来持续活跃，其活动已对中东和北非地区的政府实体与国际组织构成长期威胁。