【安全资讯】APT组织MuddyWater最新活动，使用窃密工具ForeLord针对中东政府组织

研究人员在最近的鱼叉钓鱼邮件中发现了一种新的凭据窃取恶意软件，将其命名为 ForeLord。这些电子邮件针对的是土耳其、约旦、伊拉克以及格鲁吉亚和阿塞拜疆的全球性政府组织和其他未知实体。研究人员通过分析样本中的宏与开源报告中记录的宏之间的代码相似性，结合受害者研究，将该攻击活动归因于一个已知的伊朗APT组织MuddyWater。
钓鱼邮件会要求受害者打开包含恶意Excel文件的ZIP文档，然后请求启用内容以查看文档，一旦启用了内容，安全控制就会被禁用，嵌入的恶意代码开始在受害者系统中运行。恶意文档使用命令（cmd.exe）执行批处理脚本，然后添加键值到注册表以进行持久性驻留。同时，执行PowerShell 脚本并使用rundll.32来运行 ForeLord恶意软件。ForeLord 之所以如此命名，是因为一旦恶意软件连接到C2服务器，它就会收到一串代码"lordlordlordlord"，表明消息已被C2接收。下载成功后，ForeLord 会投放用于收集凭据、在网络上测试这些凭据以及创建反向 SSL 隧道以提供到网络的其他访问通道的多个工具。其中一个合法开源工具名为CredNinja.Ps1，渗透测试人员用来快速测试收集的凭据或哈希，以确定哪个工具适用于目标 Windows 域。
研究者认为此次行动表明，伊朗的APT组织依然专注于"长期的网络间谍活动"。