北京
近日,工業和信息化部網絡安全威脅和漏洞信息共享平臺(CSTIS)監測發現,MuddyWater組織近期針對政府、軍事、電信、能源等機構實施網絡攻擊,竊取系統憑證、機密文件等敏感數據。
攻擊者通過魚叉郵件投遞雙重偽裝載荷,一類是偽裝成PDF文檔的可執行文件(如“xxx.pdf.exe”),另一類則在DOC文檔中嵌入惡意宏代碼。一旦受害者誤啟PDF文檔,偽裝文檔將立即釋放UDPGangster后門(MuddyWater組織的UDP后門,支持遠程控制、竊密等)到本地。對于嵌入惡意宏代碼的DOC文檔,一旦打開,宏代碼將會被靜默執行并從自身解密釋放后續載荷,將其保存為txt文件后重命名為裝載UDPGangster的novaservice.exe可執行文件。攻擊載荷成功在內存部署后門后,UDPGangster會將自身復制為SystemProc.exe,并通過寫入注冊表HKCU\...\UserShellFolders\Startup實現自動啟動。同時,MuddyWater組織采用動態C2連接策略,優先讀取本地配置文件,失敗則回退至硬編碼C2地址。后門程序會收集主機名、工作組、系統版本及用戶名等數據,加密回傳至服務端,最終建立對目標主機的遠程控制。
建議相關單位及用戶立即禁用Office宏執行策略,阻斷惡意文檔釋放攻擊載荷;部署郵件網關動態沙箱,深度檢測偽裝PDF的可執行文件及帶宏文檔;實時監控注冊表路徑HKCU\Software\...\UserShellFolders\Startup異常寫入,清除SystemProc.exe后門持久化項。
相關IOC信息
MD5:
07502104c6884e6151f6e0a53966e199
409d02d6153af220e527fd72256ee3a5
561b2983d558283c446ff674ff6138c3
7bfbc76c7eeb652d73b85c99ee83b339
9e06b36f4da737b8d699a6846c2540e9
a39f74247367e0891f18b7662c8e69b5
a546d2363a4b94e361d0874b690c853b
a9235540208fa6a25614c24a59e19199
aa75a0baebc93d4ca7498453ef64128a
bed77abc7e12230439c0b53dd68ffaf7
d84812961fc7cd8340031efd7b5508a8
dd6af28d1a03193fc76001b04d5827cc
de14abbda6a649d9ec90a816847f95db
e09a720574a6594b1444ebc1d6cca969
e5dd608292b6f421b0c108816d25fc5e
SHA256:
7ea4b307e84c8b32c0220eca13155a4cf66617241f96b8af26ce2db8115e3d53
aea51eaafacd03ade98875b107481d46a8f79ea9d903172b2ed8458c785a8273
d766a8ff123449a8c87fb3570c885439ccfd7d6151847d6d1f44ee7a59c4845c
ff62c294a2bcfee0d291b15ff1fd1733d08ab901281acf9c089f4662b4002a69
SHA1:
0543e6c36ca89e5d3e13656af0d1b4af0b7585c9
7bb0d162bbaa462c516502d1db56818d24ad825f
903e97ee731796fde34153c71eb718a1015ba358
d00280f07f2159adb16d8f76b7838e3e86773a7e
關聯域名:
157[.]20[.]182[.]75[:]1269
64[.]7[.]198[.]12[:]1259
關聯IP地址:
157[.]20[.]182[.]75
64[.]7[.]198[.]12
參考及來源:網絡安全威脅和漏洞信息共享平臺
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
