伊朗黑客组织新添黑客武器，政府网络易受影响

2019-06-08 10:40发布

站内文章 / 移动开发

32 0

我命由我不由天

女 | 书童

私信

更多全球网络安全资讯尽在E安全官网www.easyaq.com

小编来报：伊朗黑客组织MuddyWater APT新增攻击方法，政府、军方、电信和学术界都易受到影响。

据外媒报道，伊朗黑客组织MuddyWater APT在他们的黑客武器库中添加了新攻击手段。这个APT组织最初于2017年被发现，主要目标为中东和亚洲地区。伊朗情报和安全部将黑客小组分成了两个小组。第一个小组专门攻击目标系统，另一个小组使用鱼叉式网络钓鱼进行社会工程操作。

最近，Clear Sky的研究人员观察到组织的影响范围广泛，其中包括政府、军方、电信和学术界。研究人员发现，恶意文档包含嵌入式宏，一旦受害者打开文件，就会下载有效负载，最终利用远程代码执行漏洞CVE-2017-0199，允许攻击者使用Windows OLE（对象连接与嵌入）中存在的漏洞。

根据最近的活动，黑客进行了鱼叉式网络钓鱼攻击，邮件中的恶意文件伪装成联合国在塔吉克斯坦的一项发展计划的官方文件。

一旦受害者打开该文件，将创建新的VBS文件，该文件使用多个VBE、JavaScript和Base64进行编码。此恶意软件从IP地址185.244.149[.]218进行第二阶段的下载，然后与几个恶意文件进行通信，并将其中一个文件放入用户设备。

当用户点击文件后，会出现一个错误消息，然后出现另一个错误消息让受害者恢复文件内容。同时，恶意软件识别漏洞CVE-2017-0199，该漏洞允许远程攻击者通过文档执行任意代码。在受害者确认第二个错误消息之后，该漏洞将被激活，Word软件将与C2服务器通信。

研究人员还在命令与控制服务器通信过程中发现了一个RAT文件，并使用PowerShell脚本提取了RAT文件。这是一个初始脚本，它要求受损的计算机向攻击者报告系统上运行的进程。然后，它向C2服务器发送数十个通信请求，以便接收共享被盗数据的命令。

IoC

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 4fe389bc1ea85896b4ebb6fe26aa40a6e3f8e9ca592f0d9d7185eadab0509fdafdc305ab

65978dd3d6b3a518f465676aa6bd876e

bb6fda2cdc852112544d2598a784d04f

6cb076f1f42573c5c43083a89bcfe442

BEB6A4354549AE4F5579F25865EA8967

66[.]219[.]22[.]235

83[.]171[.]238[.]62

185[.]185[.]25[.]175

185[.]244[.]14[.]218

hXXp://185[.]185[.]25[.]175/sDownloads/hXXp://185[.]185[.]25[.]175/upl[.]php

hXXp://185[.]185[.]25[.]175/ref45[.]php