【安全资讯】MuddyWater针对阿联酋和科威特政府机构的网络间谍活动

近日，研究人员发现一起恶意活动，并归因为中东组织MuddyWater。该活动与以往MuddyWater的活动(流沙行动)有着高度相似的战术，技术和程序(TTP)。

此次活动投放伪装成科威特政府和阿联酋国民议会的样本，目的是安装一个名为ScreenConnect的远程管理工具，该工具设计有自定义的启动参数。第一个恶意可执行文件中的URL参数伪装成科威特外交部mfa[.]gov.kw，另一个样本则利用mfa[.]gov作为自定义字段针对更为广泛的政府目标。攻击感染链如下。

MuddyWater攻击链

ScreenConnect工具包含以下三个主要功能：

结论：
在本次攻击活动中，MuddyWater很有可能使用ScreenConnect的功能来窃取敏感信息或下载恶意软件以进行其他操作。