新的PowerShell后门酷似“MuddyWater”恶意软件

  • 时间:
  • 浏览:34
  • 来源:it300
新的PowerShell后门酷似“MuddyWater”恶意软件

最近发现的基于PowerShell的后门与MuddyWater威胁行为者使用的恶意软件惊人地相似,趋势科技报道。

去年首次详述,对手主要关注伊拉克和沙特阿拉伯的政府目标但攻击似乎难以归因。安全研究人员将这位演员与今年的多次攻击联系起来,甚至还展示了扩大的目标列

从一开始,攻击小组一直在使用网络钓鱼电子邮件作为其精心设计的间谍攻击的主要媒介,并且仅对所使用的工具,技术和程序(TTP)进行了微小的改动。

根据趋势科技的说法,最近发生的事件显示使用类似于已知MuddyWater TTP的交付文件,并将其上传到病毒T来自土耳其的总计。这些文件将删除一个用PowerShell编写的新后门,这类似于MuddyWater已知的POWERSTATS恶意软件。

与已知的POWERSTATS不同,新的后门使用云文件托管提供商的API进行命令和控制(C C)通信和数据泄露,安全研究人员说。

打开时,包含属于各种土耳其政府组织的模糊徽标的文档会通知用户需要启用宏才能正确显示内容。

文档中的宏包含以base52编码的字符串,这种技术已经与MuddyWater相关联,但很少被其他威胁演员使用。启用后,宏将删除.dll文件(嵌入了PowerShell代码)和.reg文件到%temp%目录。

.dll文件中嵌入的PowerShell代码有几层混淆,最后一层是主要的后门体,它显示的功能类似于以前发现的MuddyWater恶意软件版本。

威胁收集系统信息,如操作系统名称,域名,用户名,IP地址等,并使用每条信息之间的分隔符“::”保存。

]对于通信,恶意软件根据文件的目的使用具有各种扩展名的md5(硬盘序列号)文件:.cmd(带有要执行的命令的文本文件),. reg(由myinfo()生成的系统信息function),。prc(执行的.cmd文件的输出,存储在本地机器上)和.res(执行的.cmd文件的输出,存储在这些文件用作异步机制,恶意软件操作员将命令在.cmd文件中执行并返回以检索.res文件。但是,内容编码在MuddyWater后门和新恶意软件之间有所不同。

后门支持的命令包括文件上载,删除持久性,退出,文件下载和命令执行。

“根据我们的分析,我们可以确认目标是与金融和能源部门有关的土耳其政府组织。这是与之前MuddyWater活动的又一个相似之处,众所周知,这些活动针对多个土耳其政府实体。如果该小组负责这个新的后门,它会显示他们如何改进和试验wi新工具,“趋势科技总结道。

相关:MuddyWater威胁演员扩大目标列表

相关:新战役可能与MuddyWater有关

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01