【安全資訊】APT組織MuddyWater最新活動,使用竊密工具ForeLord針對中東政府組織
研究人員在最近的魚叉釣魚郵件中發現了一種新的憑據竊取惡意軟件,將其命名為 ForeLord。這些電子郵件針對的是土耳其、約旦、伊拉克以及格魯吉亞和阿塞拜疆的全球性政府組織和其他未知實體。研究人員通過分析樣本中的宏與開源報告中記錄的宏之間的代碼相似性,結合受害者研究,將該攻擊活動歸因于一個已知的伊朗APT組織MuddyWater。
釣魚郵件會要求受害者打開包含惡意Excel文件的ZIP文檔,然后請求啟用內容以查看文檔,一旦啟用了內容,安全控制就會被禁用,嵌入的惡意代碼開始在受害者系統中運行。惡意文檔使用命令(cmd.exe)執行批處理腳本,然后添加鍵值到注冊表以進行持久性駐留。同時,執行PowerShell 腳本并使用rundll.32來運行 ForeLord惡意軟件。ForeLord 之所以如此命名,是因為一旦惡意軟件連接到C2服務器,它就會收到一串代碼"lordlordlordlord",表明消息已被C2接收。下載成功后,ForeLord 會投放用于收集憑據、在網絡上測試這些憑據以及創建反向 SSL 隧道以提供到網絡的其他訪問通道的多個工具。其中一個合法開源工具名為CredNinja.Ps1,滲透測試人員用來快速測試收集的憑據或哈希,以確定哪個工具適用于目標 Windows 域。
研究者認為此次行動表明,伊朗的APT組織依然專注于"長期的網絡間諜活動"。
釣魚郵件會要求受害者打開包含惡意Excel文件的ZIP文檔,然后請求啟用內容以查看文檔,一旦啟用了內容,安全控制就會被禁用,嵌入的惡意代碼開始在受害者系統中運行。惡意文檔使用命令(cmd.exe)執行批處理腳本,然后添加鍵值到注冊表以進行持久性駐留。同時,執行PowerShell 腳本并使用rundll.32來運行 ForeLord惡意軟件。ForeLord 之所以如此命名,是因為一旦惡意軟件連接到C2服務器,它就會收到一串代碼"lordlordlordlord",表明消息已被C2接收。下載成功后,ForeLord 會投放用于收集憑據、在網絡上測試這些憑據以及創建反向 SSL 隧道以提供到網絡的其他訪問通道的多個工具。其中一個合法開源工具名為CredNinja.Ps1,滲透測試人員用來快速測試收集的憑據或哈希,以確定哪個工具適用于目標 Windows 域。
研究者認為此次行動表明,伊朗的APT組織依然專注于"長期的網絡間諜活動"。
失陷指標(IOC)14
這么重要的IOC情報,趕緊
登錄
來看看吧~
相關鏈接
https://threatpost.com/iranian-apt-targets-govs-with-new-malware/153162/https://www.secureworks.com/blog/business-as-usual-for-iranian-operations-despite-increased-tensions
0條評論
看了這么久,請
登錄
,對他說點啥~
0
0
分享
微信掃一掃分享