伊朗黑客組織MuddyWater APT新增攻擊方法，政府、軍方、電信和學(xué)術(shù)界都易受到影響。

據(jù)外媒報(bào)道，伊朗黑客組織MuddyWater APT在他們的黑客武器庫(kù)中添加了新攻擊手段。這個(gè)APT組織最初于2017年被發(fā)現(xiàn)，主要目標(biāo)為中東和亞洲地區(qū)。伊朗情報(bào)和安全部將黑客小組分成了兩個(gè)小組。第一個(gè)小組專門(mén)攻擊目標(biāo)系統(tǒng)，另一個(gè)小組使用魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)進(jìn)行社會(huì)工程操作。

最近，Clear Sky的研究人員觀察到組織的影響范圍廣泛，其中包括政府、軍方、電信和學(xué)術(shù)界。研究人員發(fā)現(xiàn)，惡意文檔包含嵌入式宏，一旦受害者打開(kāi)文件，就會(huì)下載有效負(fù)載，最終利用遠(yuǎn)程代碼執(zhí)行漏洞CVE-2017-0199，允許攻擊者使用Windows OLE（對(duì)象連接與嵌入）中存在的漏洞。

根據(jù)最近的活動(dòng)，黑客進(jìn)行了魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊，郵件中的惡意文件偽裝成聯(lián)合國(guó)在塔吉克斯坦的一項(xiàng)發(fā)展計(jì)劃的官方文件。

一旦受害者打開(kāi)該文件，將創(chuàng)建新的VBS文件，該文件使用多個(gè)VBE、JavaScript和Base64進(jìn)行編碼。此惡意軟件從IP地址185.244.149[.]218進(jìn)行第二階段的下載，然后與幾個(gè)惡意文件進(jìn)行通信，并將其中一個(gè)文件放入用戶設(shè)備。

當(dāng)用戶點(diǎn)擊文件后，會(huì)出現(xiàn)一個(gè)錯(cuò)誤消息，然后出現(xiàn)另一個(gè)錯(cuò)誤消息讓受害者恢復(fù)文件內(nèi)容。同時(shí)，惡意軟件識(shí)別漏洞CVE-2017-0199，該漏洞允許遠(yuǎn)程攻擊者通過(guò)文檔執(zhí)行任意代碼。在受害者確認(rèn)第二個(gè)錯(cuò)誤消息之后，該漏洞將被激活，Word軟件將與C2服務(wù)器通信。

研究人員還在命令與控制服務(wù)器通信過(guò)程中發(fā)現(xiàn)了一個(gè)RAT文件，并使用PowerShell腳本提取了RAT文件。這是一個(gè)初始腳本，它要求受損的計(jì)算機(jī)向攻擊者報(bào)告系統(tǒng)上運(yùn)行的進(jìn)程。然后，它向C2服務(wù)器發(fā)送數(shù)十個(gè)通信請(qǐng)求，以便接收共享被盜數(shù)據(jù)的命令。