【安全资讯】MuddyWater组织攻击土耳其私人组织和政府机构

引言

MuddyWater APT组织又名MERCURY 或 Static Kitten，此前曾被美国网络司令部归因于伊朗情报与安全部(MOIS)。近日，研究人员观察到一项针对土耳其私人组织和政府机构的新活动，并以高置信度将此活动归因于MuddyWater组织。

简况

MuddyWater组织至少从2017 年开始活跃，此前曾针对遍布美国、欧洲、中东和南亚的实体开展了各种活动，包括电信、政府（IT 服务）、石油和航空业领域。攻击者开展的活动旨在实现以下三个结果之一：间谍活动、窃取知识产权、勒索软件攻击。

近日，MuddyWater组织针对土耳其用户开展了一项活动，攻击者在活动中使用恶意 PDF 和 Microsoft Office 文档 (maldocs) 作为初始感染媒介。这些恶意文档被伪装成土耳其卫生和内政部的合法文件。作为攻击的一部分，MuddyWater攻击者使用两个感染链，从传递 PDF 文件开始。在第一种情况下，PDF包含一个嵌入式按键，单击该按钮可获取 XLS 文件。PDF文件如下图：

这些文件是典型的 XLS 文档，带有恶意 VBA 宏，这些宏会启动感染过程并通过创建新的注册表项来建立持久性。基于 PDF 的感染链如下图：

第二个感染链使用 EXE 文件而不是 XLS文件，但仍使用 PowerShell 下载器、VBScript，并添加了一个新的注册表项以实现持久性。感染链图如下：

与旧的活动相比，此活动的一个显着区别是使用canary令牌来跟踪代码执行和邻近系统上的后续感染。

归因

研究人员根据观察到的技术指标、策略、程序和 C2 基础设施将这些攻击活动归因于 MuddyWater 组织。此次活动展示了MuddyWater组织破坏目标和执行间谍活动的能力和动机。