MuddyWater APT组织使用的多阶段后门POWERSTATS V3

2019-07-12 48399人围观 网络安全

近期,我们又对MuddyWater APT组织的活动进行了分析,并且发现他们使用了新的攻击工具以及更加有效的Payload,这也表明MuddyWater APT仍然在不断地优化他们的攻击方案。在这篇文章中,我们将对MuddyWater APT所使用的新型多阶段后门和Android恶意软件变种等攻击组件进行分析。

在其中的一次攻击活动中,他们向约旦的一所大学和土耳其政府发送了网络钓鱼邮件,虽然邮件发件人的合法性是有保证的,但攻击者已经提前入侵了这个电子邮件账号,并欺骗目标用户安装恶意软件(通过邮件中的钓鱼链接或恶意附件)。

我们通过分析发现,攻击者采用了一种名为POWERSTATS v3的新型多阶段PowerShell后门(趋势科技检测为Trojan.PS1.POWERSTATS.C)。钓鱼邮件中包含了一个恶意VBE文件,使用了微软脚本编码工具进行编码,其中包含恶意宏。这个VBE文件中,包含了一段Base64编码的数据块,其中包含的是一个经过混淆处理的PowerShell脚本,而且会自动执行。这段数据会被解码并存储至%PUBLIC%目录中,文件后缀名为.jpeg和.png。PowerShelldiamagnetic接下来会使用自定义字符串对代码进行混淆处理:

后门首先会获取目标设备的操作系统信息,并将其存储在日志文件中。经过反混淆后的部分后门代码段如下:

这个文件会被上传至C2服务器中,每一台目标设备都会生成一个个随机的GUID码,用于帮助攻击者识别目标设备。接下来,恶意软件变种会开启循环模式,不断地获取GUID命名的文件,如果找到了文件,就会在目标设备上使用PowerShell.exe进程来下载并执行。

攻击者还会通过发送异步命令来开启第二阶段的攻击,比如说,可以下载另一个后门Payload,并在目标设备上安装:

攻击者下载第二阶段攻击Payload时,需要下列命令的支持:

1、 获取屏幕截图;

2、 通过cmd.exe执行命令;

3、 如果没有检测到关键词,恶意软件变种会假设输入内容为PowerShell代码,并通过“Invoke-Expression”工具来执行。

C2通信通过PHP脚本实现,其中包含硬编码令牌,以及一系列后端函数,例如sc(屏幕截图)、res(命令执行结果)、reg(注册新用户)和uDel(遇到错误时删除自身)等等。

2019年上半年MuddyWater的其他活动

MuddyWater APT组织一直都在开发新的技术来进行更加“高端”的攻击。当然了,前文所分析的活动并不是唯一一个使用了POWERSTATS v3的攻击活动,我们还发现他们在其他活动中改进了Payload的传递方式以及感染的恶意文件类型。

在2019年1月份,我们还发现攻击者使用了SHARPSTATS(Trojan.Win32.SHARPSTATS.A),一种基于.NET的后门,支持下载、上传和运行函数。同月,又出现了基于Delphi编程语言开发的后门DELPHSTATS(Trojan.Win32.DELPSTATS.A)。DELPHSTATS会在其通过PowerShell.exe进程执行自身之前,向C2服务器请求一个.dat文件,并且实现了自定义PowerShell脚本:

当然了,我们还遇到了经过重度混淆处理的POWERSTATS v2(Trojan.PS1.POWERSTATS.B)代码:

反混淆处理后,我们发现后门的主循环会请求不同的URL来从C2服务器获取命令执行的结果:

攻击者还使用了不同的后渗透利用工具

总结与安全建议

虽然MuddyWater目前还没有涉及到任何0 day和高级恶意软件变种,但是他们仍然能够成功入侵目标设备。当然了,攻击者还使用了钓鱼邮件来作为其中一种感染向量,而且攻击成功率欸长高。除了使用智能邮件安全解决方案之外,组织还需要对员工进行反垃圾邮件(钓鱼邮件)的基础培训。

点我访问】完整报告。

* 参考来源:trendmicro,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

相关推荐
取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php