MuddyWaterAPT组织,也称为MERCURY或StaticKitten,此前被美国网络司令部归咎于伊朗情报和安全部(MOIS)。最近,研究人员观察到一场针对土耳其私人组织和政府机构的新活动,他们非常有信心地将此归因于MuddyWater组织。简介MuddyWater集团至少自2017年以来一直活跃,此前曾针对美国、欧洲、中东和南亚的实体开展过各种活动,包括电信、政府(IT服务)、石油和航空领域的实体。攻击者针对以下三种结果之一开展活动:间谍活动、知识产权盗窃或勒索软件攻击。最近,MuddyWater组织发起了一场针对土耳其用户的活动,攻击者使用恶意PDF和MicrosoftOffice文档(maldoc)作为初始感染媒介。这些恶意文件被伪装成来自土耳其卫生和内政部的合法文件。作为攻击的一部分,MuddyWater攻击者使用了两个感染链,从交付PDF文件开始。在第一种情况下,PDF包含一个嵌入式按钮,单击该按钮可获取XLS文件。PDF文件如下图所示:这些文件是典型的XLS文档,带有恶意VBA宏,可启动感染过程并通过创建新注册表项建立持久性。基于PDF的感染链如下图:第二个感染链使用EXE文件代替XLS文件,但仍然使用PowerShell下载器、VBScript,并添加了一个新的注册表项用于持久化。感染链图如下:与旧版活动相比,本次活动的一个显着区别是使用金丝雀令牌来跟踪代码执行和随后在相邻系统上的感染。归因研究人员根据观察到的技术指标、战术、程序和C2基础设施将这些活动归因于MuddyWater组织。该活动展示了MuddyWater集团破坏目标和进行间谍活动的能力和动机。
