APT组织MuddyWater针对中东航空业发起的最新攻击

释放双眼,带上耳机,听听看~!

    

       近日,趋势科技报告了一起疑似MuddyWater最新的攻击事件,该样本实际在5月份就已经被上传至twiiter和VT,并且当时也进行过分析,但并没有进行对该组织的关联,通过启发,我将针对该样本进行简单的分析,对与此前该组织的一些样本特征进行比对。

        样本名为:Egyptairplus.doc  即埃及航空公司  

      (fdb4b4520034be269a65cfaee555c52e)

        打开样本可以看到背景为埃及航空公司的logo和被覆盖的内容,以便引诱观众启动宏。

    

        启动宏后,即可看见原文,内容大概为使用里程兑换机票的规则

宏代码主要如下

而该组织每一次的落地的文件路径都会有一定的特征,本次事件中的ps脚本落地路径为

%Application Data%\Microsoft\CLR\*

以往的落地路径为programdata\\xxx

以往该组织样本通过ps脚本进行恶意样本落地的情况

最后释放的后门被命名为PRB,回连的服务器C&C为

hxxp://outl00k[.]net

具体远控命令如下:

命令 细节

PRB-CREATEALIVE

初始化与C&C服务器的连接
PRB-CREATEINTRODUCE 将受影响的机器注册/引入C&C服务器
PRB-History 从不同的浏览器收集浏览历史记录,并使用“sendfile”函数将其发送到C&C服务器
PRB-PASSWORD 窃取在浏览器历史记录中列出或找到的密码
PRB-READFILE 读取文件
PRB-WRITEFILE 写入文件
PRB-Shell 执行shell命令
PRB-Logger 调用“记录器”功能,用于记录键盘敲击
PRB-Shot 触发SNAP功能,用于捕捉屏幕截图
PRB-funcupdate 更新功能
SYSINFO 收集系统信息
Start_Dns 初始化DNS会话/连接

从该组织的以往攻击事件来看,手段并不高明,但从本次攻击中所使用的后门来看,技术方面正在提升,且由于攻击目标较为明确,因此仍需要重点监控。

本文源自微信公众号:黑鸟

人已赞赏
安全工具

Chrome爆高危远程代码执行漏洞,赶紧更新!

2019-10-16 10:49:44

安全工具

赛门铁克和科莫多等反病毒公司和联合国儿童基金会疑似被入侵并售卖访问权限

2019-10-16 10:49:49

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索