伊朗黑客組織MuddyWater APT新增攻擊方法，政府、軍方、電信和學(xué)術(shù)界都易受到影響。

據(jù)外媒報道，伊朗黑客組織MuddyWater APT在他們的黑客武器庫中添加了新攻擊手段。這個APT組織最初于2017年被發(fā)現(xiàn)，主要目標(biāo)為中東和亞洲地區(qū)。伊朗情報和安全部將黑客小組分成了兩個小組。第一個小組專門攻擊目標(biāo)系統(tǒng)，另一個小組使用魚叉式網(wǎng)絡(luò)釣魚進(jìn)行社會工程操作。

最近，Clear Sky的研究人員觀察到組織的影響范圍廣泛，其中包括政府、軍方、電信和學(xué)術(shù)界。研究人員發(fā)現(xiàn)，惡意文檔包含嵌入式宏，一旦受害者打開文件，就會下載有效負(fù)載，最終利用遠(yuǎn)程代碼執(zhí)行漏洞CVE-2017-0199，允許攻擊者使用Windows OLE（對象連接與嵌入）中存在的漏洞。

根據(jù)最近的活動，黑客進(jìn)行了魚叉式網(wǎng)絡(luò)釣魚攻擊，郵件中的惡意文件偽裝成聯(lián)合國在塔吉克斯坦的一項發(fā)展計劃的官方文件。

一旦受害者打開該文件，將創(chuàng)建新的VBS文件，該文件使用多個VBE、JavaScript和Base64進(jìn)行編碼。此惡意軟件從IP地址185.244.149[.]218進(jìn)行第二階段的下載，然后與幾個惡意文件進(jìn)行通信，并將其中一個文件放入用戶設(shè)備。

當(dāng)用戶點(diǎn)擊文件后，會出現(xiàn)一個錯誤消息，然后出現(xiàn)另一個錯誤消息讓受害者恢復(fù)文件內(nèi)容。同時，惡意軟件識別漏洞CVE-2017-0199，該漏洞允許遠(yuǎn)程攻擊者通過文檔執(zhí)行任意代碼。在受害者確認(rèn)第二個錯誤消息之后，該漏洞將被激活，Word軟件將與C2服務(wù)器通信。

研究人員還在命令與控制服務(wù)器通信過程中發(fā)現(xiàn)了一個RAT文件，并使用PowerShell腳本提取了RAT文件。這是一個初始腳本，它要求受損的計算機(jī)向攻擊者報告系統(tǒng)上運(yùn)行的進(jìn)程。然后，它向C2服務(wù)器發(fā)送數(shù)十個通信請求，以便接收共享被盜數(shù)據(jù)的命令。