腾讯御见威胁情报中心MuddyWater污水 APT组织再度活跃

近日,腾讯御见威胁情报中心监控到MuddyWater(污水) APT组织再度利用宏文档进行载荷投递,通过搜索引擎查询发现,该组织利用的宏文档中嵌有“mersin emniyet müdürlüğü”关键字的图标文件,初步推断是针对土耳其相关部门发起的一次定向攻击。目前,该类攻击并未在我国发现。

据了解,MuddyWater(污水) APT组织以从事网络间谍活动为目的,主要攻击目标集中在政府、金融、能源、电信等相关部门,受害者主要分布在土耳其、巴基斯坦、沙特阿拉伯、阿联酋、伊拉克等中东地区国家。自2017年11月被曝光以来,该组织擅长利用powershell等脚本后门,通过powershell在内存中执行,减少新的PE文件在受害者机器落地,行动极为隐蔽,安全软件难以捕捉。这种方式使得该组织的样本有着较低的检测率,同时也加大了安全机构的取证难度。

(图:MuddyWater(污水)APT组织攻击流程)

今年3月,该组织便开始活跃,并针对土耳其相关部门发起定向攻击,此次再度来袭依然延续了手握大量攻陷网站的特点,目的是进行诱饵的投递及胜利果实的回收。不过技术方面得到了进一步优化,全程使用经过多次高度混淆的powershell脚本,关键的木马功能以云控的方式进行下发,以便掩盖其攻击目的。另外脚本一旦运行后,会设置开机自启动、解密c2(指后门、木马控务器)、创建任务计划、获取计算机信息等,然后不断地访问c2,等待和执行新指令。

据腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松介绍,该组织攻击使用的宏文档中背景故意做得比较模糊,但是图标及启用宏的提示文字却异常鲜艳,这是一种典型的社会工程学式的攻击方式,目的是让受害者在好奇心的驱使下点击“启动内容”按钮,从而让藏在文档中的木马运行起来。对此,他提醒广大用户,切勿随意打开来历不明的文档,可利用腾讯电脑管家哈勃分析系统进行安全检测。同时,政府及企业用户可通过腾讯安全“御界防APT邮件网关”,解决恶意邮件的攻击威胁。

(图:腾讯御界高级威胁检测系统)

目前,腾讯御界高级威胁检测系统已经可以检测并阻断该击的连接行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

凭借基于行为的防护和智能模型两大核心能力,御界高级威胁检测系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。通过部署御界高级威胁检测系统,及时感知恶意流量,检测钓鱼网址和远控服务器地址在企业网络中的访问情况,保护企业网络安全。

猜你喜欢

推荐排行

  • 从基础到应用编程语言和工具在AI领域扮演何种角色
  • R头游戏之旅探索虚拟世界的无限可能
  • 生活小窍门我告诉你智能家居包含哪些东西
  • 激情的镜头探索青年摄影大赛背后的故事与风采