近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,MuddyWater 组织近期针对政府、军事、电信、能源等机构实施网络攻击,窃取系统凭证、机密文件等敏感数据。
攻击者通过鱼叉邮件投递双重伪装载荷,一类是伪装成 PDF 文档的可执行文件(如 "xxx.pdf.exe"),另一类则在 DOC 文档中嵌入恶意宏代码。一旦受害者误启 PDF 文档,伪装文档将立即释放 UDPGangster 后门(MuddyWater 组织的 UDP 后门,支持远程控制、窃密等)到本地。对于嵌入恶意宏代码的 DOC 文档,一旦打开,宏代码将会被静默执行并从自身解密释放后续载荷,将其保存为 txt 文件后重命名为装载 UDPGangster 的 novaservice.exe 可执行文件。攻击载荷成功在内存部署后门后,UDPGangster 会将自身复制为 SystemProc.exe,并通过写入注册表 HKCU...UserShellFoldersStartup 实现自动启动。同时,MuddyWater 组织采用动态 C2 连接策略,优先读取本地配置文件,失败则回退至硬编码 C2 地址。后门程序会收集主机名、工作组、系统版本及用户名等数据,加密回传至服务端,最终建立对目标主机的远程控制。
建议相关单位及用户立即禁用 Office 宏执行策略,阻断恶意文档释放攻击载荷;部署邮件网关动态沙箱,深度检测伪装 PDF 的可执行文件及带宏文档;实时监控注册表路径 HKCUSoftware...UserShellFoldersStartup 异常写入,清除 SystemProc.exe 后门持久化项。
相关 IOC 信息
MD5:
07502104c6884e6151f6e0a53966e199
409d02d6153af220e527fd72256ee3a5
561b2983d558283c446ff674ff6138c3
7bfbc76c7eeb652d73b85c99ee83b339
9e06b36f4da737b8d699a6846c2540e9
a39f74247367e0891f18b7662c8e69b5
a546d2363a4b94e361d0874b690c853b
a9235540208fa6a25614c24a59e19199
aa75a0baebc93d4ca7498453ef64128a
bed77abc7e12230439c0b53dd68ffaf7
d84812961fc7cd8340031efd7b5508a8
dd6af28d1a03193fc76001b04d5827cc
de14abbda6a649d9ec90a816847f95db
e09a720574a6594b1444ebc1d6cca969
e5dd608292b6f421b0c108816d25fc5e
SHA256:
7ea4b307e84c8b32c0220eca13155a4cf66617241f96b8af26ce2db8115e3d53
aea51eaafacd03ade98875b107481d46a8f79ea9d903172b2ed8458c785a8273
d766a8ff123449a8c87fb3570c885439ccfd7d6151847d6d1f44ee7a59c4845c
ff62c294a2bcfee0d291b15ff1fd1733d08ab901281acf9c089f4662b4002a69
SHA1:
0543e6c36ca89e5d3e13656af0d1b4af0b7585c9
7bb0d162bbaa462c516502d1db56818d24ad825f
903e97ee731796fde34153c71eb718a1015ba358
d00280f07f2159adb16d8f76b7838e3e86773a7e
关联域名:
157 [ . ] 20 [ . ] 182 [ . ] 75 [ : ] 1269
64 [ . ] 7 [ . ] 198 [ . ] 12 [ : ] 1259
关联 IP 地址:
157 [ . ] 20 [ . ] 182 [ . ] 75
64 [ . ] 7 [ . ] 198 [ . ] 12
文章来源自:网络安全威胁和漏洞信息共享平台
