APT最前线：MuddyWater近2个月入侵了30多个组织

赛门铁克安全研究人员在周一公布的一份报告中称, 从9月下旬到11月中旬, 被称为 muddywater 的网络间谍组织已经袭击了30个组织的130多名受害者。

在过去几个月里, 出现于2017年的muddywater 高度活跃。最早在2017年当时它主要集中关注于伊拉克和沙特阿拉伯的目标上。今年, 许多袭击事件都与该组织有关, 当时安全研究人员也注意到, 该组织扩大了目标名单。

11月下旬, 趋势科技发现了一种新的基于 powershell 的后门, 与 muddywater 使用的恶意软件惊人地相似。赛门铁克也注意到了新的后门, 并将其命名为 powemuddy。

赛门铁克称之为 "Seedworm" 的威胁行为者一直专注于收集中东以及欧洲和北美目标的情报。

在过去的一年里, 这个网络间谍不断更新 powermud (powerstats) 后门和其他工具, 以避免被发现。安全研究人员还发现了一个用于存储 脚本的 github repository , 以及用于利用受害者机器的工具。

赛门铁克还在巴西的一家产油国大使馆的电脑上发现了 muddywater 和Fancy Bear 感染的证据。（这个同时存在有意思）

在其上发现了powemuddy 和用于窃取密码、提权和逆向的工具。此外, 该攻击者似乎正在使用受害 windows cabinet工具和makecabe.exe 用于恶意目的。

在入侵系统后, muddywater 首先窃取保存在 web 浏览器和电子邮件中的密码。接下来, 使用 LaZagne 和 Crackmapexec (包括未经修改和自定义编译的变体) 等开源工具来获取 windows 授权凭据。

赛门铁克还发现了多个可能与对手相关的在线帐户, 包括一个公开的 github repository 和 twitter 上的一个角色, 该repository 关注众多安全研究人员, 包括记录开发人员，以及他们开发的开源工具。

"选择依赖公开可用的工具, Seedworm 可以只应用少量自定义项，使用他人编写的代码快速更新其操作。他们似乎采用了一些最有效、最有能力的工具 "。

从2018年9月底至11月中旬, 该组织的 powermud 后门造成131名受害者, 其中大部分位于巴基斯坦和土耳其, 其余还包括：俄罗斯、沙特阿拉伯、阿富汗、约旦和其他地方。欧洲和北美与中东有联系的组织也受到了威胁。

在调查期间, 赛门铁克的安全研究人员成功地确定了131名独特受害者中的80个可能的行业部门, 电信和 IT服务部门是主要目标。该组织很可能希望利用这一立足点, 寻找更多的受害者来入侵。

排名第二的是来自石油和天然气部门的11名受害者 (均来自活跃在中东的一家俄罗斯公司)。muddywater 还袭击了中东的大学和中东国家在欧洲的大使馆。两个主要的非政府组织也受到损害。

最近，Pr0.s 开了卡巴、赛门铁克、帕拉奥托等分析报告，就在思考一个问题：我国信息系统和网络“只用”国内安全产品是个好事儿还是坏事？

一方面：似乎是自主可控；但另一方面由于我们的自主安全产品往往大部分部署在国内的信息系统中（或在国外的华人电脑、手机上），没有形成全球信息通报和协同防御的能力。

无知者“无畏吧？”

声明：本文来自malwarebenchmark，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。