自2020年第四季度以来,MuddyWater持续对中东国家发起攻击。根据新发现的样本,研究人员认为该活动仍在进行中。MuddyWater被认为是伊朗革命卫队运营的一个组织,主要捍卫伊朗的国家利益。攻击通常从包含嵌入VBA宏代码的恶意Word文档的压缩文件开始。恶意文档样本根据文档内容可以看出,它似乎是专门为讲阿拉伯语的用户设计的。还有一些样本包含通用的英文信息,诱导用户启用宏代码。恶意文件样本恶意文件样本虽然无法明确确定此次攻击的具体目标,但据分析,此次攻击的目标国家包括巴基斯坦、哈萨克斯坦、亚美尼亚、叙利亚、以色列、巴林、土耳其、南非、苏丹等。这些国家被认为与伊朗的利益有关,或者与伊朗在其他地区的发展和战略有关。宏代码其实很简洁,写了一个不太混淆的VBS脚本到C:\ProgramData或Windows启动文件夹,文件名为Temp_[3-5个随机字符].txt。恶意VBA宏代码投放的样本是小型RAT。首先通过whoami进行侦察,然后结合国家信息构建C&C通信的URI。样本中发现的国家代码是:PK->PakistanAR->ArgentinaAM->ArmeniaSY->SyriaIL->IsraelBH->BahrainTR->TurkeySA->SaudiSD->SudanKK->KazakhstObfuscatedcode去混淆代码函数在执行explorer.exe后调用函数从数组中选择IP地址。如果选择的IP没有回复,会重新选择。C&C使用的HTTPGET请求结构为:http://{IP_address}/getCommand?guid={recon_string}。如果没有响应HTTPGET请求,将轮换下一个IP地址。如果有响应,则需要去混淆并创建一个WScript.Shell对象来调用函数执行。部分代码执行结果输出为TXT文件,读取后回传给C&C服务器。后续使用HTTPPOST请求,结构如下:HTTPPOST请求flag_value其实就是状态,也是脚本中一个初值为0的变量。执行完收到命令返回结果后置1,否则不修改。这个值在脚本最初执行whoami_wrap时会检查,与126进行比较,如果解析为True,则会显示以下提示信息。提示信息样本中唯一的事情就是通过WMI获取被攻陷主机的信息:部分代码等功能不完整的样本已经被用于各种攻击长达两年之久。攻击者可以根据被攻陷主机的具体情况决定是否进入下一阶段。IOC4e8a2b592ed90ed13eb604ea2c29bfb3fbc771c799b3615ac84267b85dd26d1cae6dba7da3c8b2787b274c660e0b522ce8ebda89b1864d8a2ac2c9bb2bd4afa6185.117.73.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.174.68.60192.227.147.152dba90bd5fdf0321a28f21fccb3a77ee1ed5d73e863e4520ce8eb8fca670189c30b4d660335b55d96ddf4c76664341ed52519639161a0a0a1aa0ae82951feba01参考来源Lab52
