关键词:MuddyWater、网络间谍活动、知识产权窃取攻击、中东地区

随着网络攻击的增长,全球网络安全问题日益显著。在诸多威胁中,网络间谍攻击是一类极具代表性的行动,它可用于获取敏感信息或机密数据,譬如知识产权、政府或商业机密。攻击者的目标可能是获取经济利益、造成声誉损害、维护政治利益或发动网络战争。本文将聚焦于网络间谍攻击中高度活跃的一个组织MuddyWater。

1. MuddyWater历史背景

Stuxnet是 2010年针对伊朗核计划进行打击的标志性事件。伊朗以此为鉴,开始投入相关领域以期提高网络战能力。2011年起,伊朗黑客组织开始介入复杂的攻击,网络间谍攻击正是他们较为活跃的一个领域。2012年,第一起主要的网络间谍行动Madi被监测到。

根据FBI和其他美、英机构的消息称,MuddyWater(又称Static Kitten、UNC3313或MERCURY),是一支疑似由伊朗政府资助的国家级APT组织。该组织自2017年底以来一直非常活跃。

MuddyWater组织已被发现在欧洲、亚洲、非洲和北美地区实施恶意行动。不过与其它的伊朗黑客组织相比,该组织的目标主要聚焦于中东地区。MuddyWater组织针对私人及政府组织的目标如下:

  • 国防

  • 教育

  • 能源

  • 金融服务

  • 政府和行政机构

  • 医疗

  • 高科技

  • 跨国组织

  • 媒体

图1:受MuddyWater影响的国家

该组织主要发起网络间谍行动和知识产权窃取攻击,但在某些情况下,他们很可能会通过部署勒索软件来掩盖他们踪迹。

2. MuddyWater攻击方式

MuddyWater的武器库非常庞大,该组织会利用各种已知漏洞、使用大量工具发动攻击。

在ATT&CK矩阵中的初始访问阶段,该组织通常会利用鱼叉式钓鱼攻击诱骗受害者打开隐藏在商业文件共享服务中的恶意文档。获得初始访问权限后,他们通常会释放WebShell来获取受感染主机上的本地管理员访问权限。在受害主机上通过使用工具如Mimikatz转储凭据。为了扩大攻击范围,MuddyWater通过在内网利用内置程序或部署相关工具进行横向移动。

MuddyWater通常使用DNS协议与C2服务器进行通信,通讯工具会使用PowerShell,vpnui.exe(Ligolo的专有版本)和远控软件(包括ScreenConnect,Remote Utilities和eHorus)。

下图为Microsoft发现的一个MuddyWater攻击链实例。

图2:MuddyWater攻击链(来源:Microsoft)

3. MuddyWater攻击工具

  • PowGoop DLL Loader:PowGoop 恶意软件是一种恶意 DLL 加载程序。它会伪装成合法的Google Update可执行文件。

  • Small Sieve:Small Sieve是一个简单的Python后门,常用于分发Nullsoft Scriptable Install System(NSIS)安装程序。

  • Canopy:Canopy 是一种间谍软件。它收集受害者的用户名、计算机名称和 IP 地址,并将其发送给 MuddyWater 组织。Canopy 恶意软件也称为 Starwhale 恶意软件。

  • Mori:Mori 是一个后门,它使用DNS隧道与该组织的 C2 基础设施进行通信。

  • POWERSTATS:POWERSTATS是一个运行PowerShell脚本以保持对受害者系统持久访问权的后门。

图3:SOCRadar 提供的 MuddyWater 相关工具和漏洞利用库

4. MuddyWater攻击目标

图4:MuddyWater行动时间线

MuddyWater的目标主要是伊朗在中东地区的邻国。从下图可以看到土耳其、以色列、伊拉克、阿联酋和巴基斯坦是MuddyWater的首要目标。这幅图表明MuddyWater可能通过与MOIS的联系遵从伊朗的政治利益行事。因此,与伊朗有政治利益冲突的国家应该有意识地关注MuddyWater的网络间谍行动。

图5:MuddyWater针对的国家

5. MuddyWater攻击动机

2020 年 9 月,以色列、阿拉伯联合酋长国和巴林签署了一系列名为《亚伯拉罕协议》的协议。这些协议旨在实现该地区的外交关系正常化。美国从中斡旋了这些协议,这也是中东地区的一次重大外交突破。

从中立的角度来看,《亚伯拉罕协议》能够在一定程度上改善地区冲突,但有些国家可能会对这些协议感到不适。例如,伊朗可能对《亚伯拉罕协议》感到担忧,因为它们可能导致以色列与该地区其他国家之间建立更密切的联系,从而可能削弱伊朗的影响力。

根据以上事态的发展,可以粗略推断出MuddyWater在于2020 年 9 月至 2021 年 3 月期间开展的网络间谍行动是对这些协议的某种反应。正如相关报告所述,MuddyWater主要于2020年底和2021年初在中东及其邻近地区开展行动。

  • 2020年9月流沙行动以色列:据 ClearSky 报道,MuddyWater 针对许多著名的以色列组织发起攻击。在这个特定的行动中,安全研究人员观察到攻击者使用Shamoon的变体来加密数据。不过最终发现其使用Shamoon的目的不是部署勒索软件,而是扰乱业务行为。

图6:流沙行动

    • 2021 年 3 月地球维塔拉行动:根据趋势科技的数据,阿塞拜疆、巴林、以色列、沙特阿拉伯和阿拉伯联合酋长国是该行动的目标地区。政府机构、学术界和旅游业则是这些攻击目标的主要受害领域。

6. MuddyWater最近活动

2022 年 1 月,有网络安全研究人员报告称MuddyWater 针对的是土耳其私人机构和政府组织。该组织在活动期间使用了多个恶意PDF和MS Office文档。在鱼叉式钓鱼攻击的诱饵文件中,攻击者试图说服受害者相信这些文件来自土耳其卫生部和内政部。

图7:土耳其行动中使用的恶意PDF

在 2022 年 12 月的另一起事件中,Deep Instinct 报告称MuddyWater又一次通过电子邮件发起鱼叉式钓鱼攻击。在这次攻击中,以色列保险公司是主要袭击目标。作为一个不断迭代的攻击者,他们在其武器库中添加了一种新的远程访问工具Syncro。

图8:来自MuddyWater以色列攻击的邮件实例

7. 总结

通过对MuddyWater网络间谍行动的观察可以得出结论,无论是因为政治影响,还是其他原因,以色列和土耳其似乎是MuddyWater的主要目标。

从技术层面上来说,MuddyWater随着他们实施的每次攻击而演进,但他们仍然使用相近的技术。主要防御建议如下:

  • MuddyWater利用鱼叉式钓鱼攻击。请为机构内员工提供必要的安全意识培训。

  • 通过攻击面管理解决方案了解面向外部环境的数字资产。

  • 定期安装安全补丁和软件更新。

  • 在整个网络中应用最小特权原则,尤其是关键系统和服务。

  • 使用具备最佳实践的安全域控设备 (DC)。

  • 启用多重身份验证 (MFA) 以防止横向移动。

  • 请使用文末附录内的 IOCs 并采取必要的缓解措施。

涉及MITRE ATT&CK技术一览:

技术

ATT&CK编号

侦察阶段

收集受害者身份信息: 电子邮箱地址

T1589.002

工具开发

获取基础设施:Web 服务

T1583.006

获取功能:工具

T1588.002

初始访问

钓鱼攻击:鱼叉式钓鱼邮件附件

T1566.001

钓鱼攻击:鱼叉式钓鱼邮件链接

T1566.002

程序执行

WMI管理

T1047

命令与脚本解释器:Powershell

T1059.001

命令与脚本解释器:CMD

T1059.003

命令与脚本解释器:Visual Basic

T1059.005

命令与脚本解释器:Python

T1059.006

命令与脚本解释器:JavaScript

T1059.007

客户端程序执行的利用

T1203

用户侧程序执行:恶意链接

T1204.001

用户侧程序执行:恶意文件

T1204.002

内部进程通信:COM

T1559.001

内部进程通信:动态数据交换

T1559.002

持久化

计划任务:计划任务

T1053.005

Office程序启动项:Office模板宏

T1137.001

开机自启动项: 注册表自启动项/自启动文件夹

T1547.001

权限提升

滥用提权控制机制: 绕过UAC 

T1548.002

获取本地密码存储凭证

T1555

获取Web浏览器密码凭证

T1555.003

防御机制绕过

文件或信息混淆

T1027

密码学

T1027.003

分发后编译

T1027.004

伪装: 匹配合法姓名或地址

T1036.005

文件或信息解混淆/解码

T1140

系统二进制文件代理执行: CMSTP

T1218.003

系统二进制文件代理执行: Mshta

T1218.005

系统二进制文件代理执行: Rundll32

T1218.011

执行护栏

T1480

破坏防御: 禁用或修改工具

T1562.001

凭证获取

操作系统凭证转储: LSASS内存获取

T1003.001

操作系统凭证转储: LSA密码

T1003.004

操作系统凭证转储: 缓存域凭证

T1003.005

不安全的凭证存储: 在文件中存储凭证

T1552.001

发现

系统网络配置发现

T1016

系统所有者/用户发现

T1033

系统网络连接发现

T1049

进程发现

T1057

系统信息发现

T1082

文件与目录发现

T1083

账户发现:域账户

T1087.002

软件发现

T1518

安全软件发现

T1518.001

敏感信息收集

截屏

T1113

打包收集的信息:通过工具打包

T1560.001

命令与控制

应用层协议:Web协议

T1071.001

代理:外部代理

T1090.002

Web服务: 双向通信

T1102.002

多阶段通信

T1104

切入工具转移

T1105

数据编码:标准编码

T1132.001

数据编码:非标准编码

T1132.002

远控软件

T1219

信息渗出

通过C2信道渗出信息

T1041

附录 攻击指标

附录 1: PowGoop相关IOC

goopdate[.]dll

  • MD5: a27655d14b0aabec8db70ae08a623317

  • SHA-1: 7649c554e87f6ea21ba86bb26ea39521d5d18151

  • SHA-256: 2c92da2721466bfbdaff7fedd9f3e8334b688a88ee54d7cab491e1a9df41258f

  • 文件类型: Win32 DLL

  • 文件大小: 88.50 KB (90624 bytes)

vcruntime140[.]dll

  • MD5: cec48bcdedebc962ce45b63e201c0624

  • SHA-1: 81f46998c92427032378e5dead48bdfc9128b225

  • SHA-256: dd7ee54b12a55bcc67da4ceaed6e636b7bd30d4db6f6c594e9510e1e605ade92

  • 文件类型: Win32 DLL

  • 文件大小: 91.50 KB (93696 bytes)

IOCs

  • 104.208.16[.]94:443 (TCP)

  • 20.42.65[.]92:443 (TCP)

  • 20.42.73[.]29:443 (TCP)

libpcre2-8-0[.]dll

  • MD5: 860f5c2345e8f5c268c9746337ade8b7

  • SHA-1: 6c55d3acdc2d8d331f0d13024f736bc28ef5a7e1

  • SHA-256: 9d50fcb2c4df4c502db0cac84bef96c2a36d33ef98c454165808ecace4dd2051

  • 文件类型: Win32 DLL

  • 文件大小: 94.50 KB (96768 bytes)

IOCs

  • 20.189.173[.]20:443 (TCP)

  • 20.189.173[.]21:443 (TCP)

  • 20.42.73[.]29:443 (TCP)

附录 2: Small Sieve相关IOC

gram_app[.]exe

  • MD5: 15fa3b32539d7453a9a85958b77d4c95

  • SHA-1: 11d594f3b3cf8525682f6214acb7b7782056d282

  • SHA-256: b75208393fa17c0bcbc1a07857686b8c0d7e0471d00a167a07fd0d52e1fc9054

  • 文件类型: Win32 EXE

  • 文件大小: 16.21 MB (16999598 bytes)

IOCs

  • 13.107.4[.]50:80 (TCP)

  • 149.154[.]167.220:443 (TCP)

  • 192.168.0[.]15:137 (UDP)

  • 23.216.147[.]64:443 (TCP)

  • 23.216.147[.]76:443 (TCP)

  • a83f:8110:0:0:1400:1400:2800[:]3800:53 (UDP)

index[.]exe

  • MD5: 5763530f25ed0ec08fb26a30c04009f1

  • SHA-1: 2a6ddf89a8366a262b56a251b00aafaed5321992

  • SHA-256: bf090cf7078414c9e157da7002ca727f06053b39fa4e377f9a0050f2af37d3a2

  • 文件类型: Win32 EXE

  • 文件大小: 16.46 MB (17263089 bytes)

IOCs

  • 13.107.4[.]50:80 (TCP)

  • 192.168.0[.]1:137 (UDP)

  • 192.168.0[.]25:137 (UDP)

  • 20.99.132[.]105:443 (TCP)

  • 209.197.3[.]8:80 (TCP)

  • 23.216.147[.]64:443 (TCP)

  • a83f:8110:0:0:7f00:0:0[:]0:53 (UDP)

  • a83f:8110:492a:d801:d1df:1328:492a[:]d801:53 (UDP)

  • a83f:8110:5067:d801:beac:bf78:cce1[:]d301:53 (UDP)

附录 3: Canopy相关IOC

Cooperation terms[.]xls

  • MD5: b0ab12a5a4c232c902cdeba421872c37

  • SHA-1: a8e7659942cc19f422678181ee23297efa55fa09

  • SHA-256: 026868713d60e6790f41dc7046deb4e6795825faa903113d2f22b644f0d21141

  • 文件类型: MS Excel Spreadsheet

  • 文件大小: 247.00 KB (252928 bytes)

IOCs

  • 88.119.170[.]124:80 (TCP)

ZaibCb15Ak[.]xls

  • MD5: 6cef87a6ffb254bfeb61372d24e1970a

  • SHA-1: e21d95b648944ad2287c6bc01fcc12b05530e455

  • SHA-256: 4b2862a1665a62706f88304406b071a5c9a6b3093daadc073e174ac6d493f26c

  • 文件类型: MS Excel Spreadsheet

  • 文件大小: 249.00 KB (254976 bytes)

IOCs

  • 5.199.133[.]149:80 (TCP)

附录 4: Mori相关IOC

FML[.]dll

  • MD5: 0431445d6d6e5802c207c8bc6a6402ea

  • SHA-1: 3765c1ad8a1d936aad88255aef5d6d4ce24f94e8

  • SHA-256: 3098dd53da40947a82e59265a47059e69b2925bc49c679e6555d102d1c6cbbc8

  • 文件类型: Win32 DLL

  • 文件大小: 200.65 MB (210397496 bytes)

附录 5: POWERSTATS相关IOC

LisfonService[.]exe

  • MD5: f5dee1f9cd47dc7bae468da9732c862e

  • SHA-1: 5273ee897e67fc01ee5fef08c37400cb4ee15958

  • SHA-256: 6f8226d890350943a9ef4cc81598e0e953d8ba9746694c0b7e3d99e418701b39

  • 文件类型: Win32 EXE

  • 文件大小: 119.00 KB (121856 bytes)

TestService[.]exe

  • MD5: e75443a5e825f69c75380b6dc76c6b50

  • SHA-1: 142b5753c608c65e702e41b52abdeb96cb2f9294

  • SHA-256: c514c3f293f0cb4c23662a5ab962b158cb97580b03a22b82e21fa3b26d64809c

  • 文件类型: Win32 EXE

  • 文件大小: 92.50 KB (94720 bytes)

IOCs

  • 13.107.4.50:80 (TCP)

  • a83f:8110:e0:ffff:e0:ffff:e0[:]ffff:53 (UDP)

参考链接:https://socradar.io/dark-web-profile-muddywater-apt-group/

编辑|倪锴

审校|何双泽、王仁

本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。

声明:本文来自国家网络威胁情报共享开放平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。