自2025年初以来,网络安全团队发现,由伊朗国家支持的高级持续性威胁(APT)行为体“浑水”(MuddyWater)的活动明显卷土重来。
该组织最初通过大规模的远程监控和管理(RMM)漏洞利用崭露头角,如今已转向开展高度针对性的攻击活动,采用定制化恶意软件后门和多阶段有效载荷,旨在规避检测。
该 adversary 不再仅仅依赖现成工具,而是扩大了其攻击武器库,纳入了定制植入程序,如 BugSleep、StealthCache 和 Phoenix 后门程序。
这些组件协同工作,以大规模利用商业服务的方式建立秘密据点、提取敏感数据并隐藏基础设施。
攻击向量仍然集中在嵌入恶意微软Office文档的鱼叉式钓鱼邮件上。
受害者会收到带有VBA宏的诱饵文档,这些宏会从受Cloudflare保护的域名中下载并执行次级有效载荷。
受感染的主机随后会连接到由主流服务商和防攻击服务商托管的命令与控制(C2)服务器,这些服务商包括亚马逊云服务(AWS)、DigitalOcean以及斯塔克工业公司,之后它们会将通信转移到Cloudflare代理后方,以隐藏源IP地址。
Group-IB的分析师指出,Cloudflare的反向代理服务极大地增加了追踪活跃C2端点的难度,因为所有流量似乎都来自共享的Cloudflare主机。
初始加载器
执行时,初始加载器(通常名为wtsapi32.dll)会解密StealthCache后门程序并将其注入合法进程。
StealthCache通过HTTPS建立伪TLV协议,在端点/aq36发送和接收加密命令,并在/q2qq32报告错误。
Group-IB的分析师发现了定制的XOR程序,这些程序会从受害者的设备和用户名字符串中动态生成解密密钥,从而在不匹配的主机上执行时挫败沙箱分析。
在其最新的运营阶段,浑水采用的多阶段方法已投放了三类有效载荷:初始的VBA投放器、诸如Fooder之类的加载器,以及像StealthCache这样功能丰富的后门程序。
收到命令代码后,StealthCache会执行从交互式shell到文件窃取等一系列操作:
// Decrypt function snippet
void decrypt_payload(uint8_t *buffer, size_t size, const char *key) {
for (size_t i = 0; i < size; ++i) {
buffer[i] ^= key[i % strlen(key)];
}
}随后,凤凰后门程序从加载器的内存空间部署。凤凰通过/register向其命令与控制服务器注册,然后定期向/imalive发送信标,并轮询/request以获取进一步指令。
这种模块化设计支持无缝的命令更新和有效载荷交换,无需写入磁盘,从而增强了持久性并减少了取证痕迹。
通过利用Cloudflare来隐藏真实的服务器端点</b0,并集成与主机标识符相关联的动态解密,MuddyWater构建了一个具有弹性的多阶段感染链,这让网络防御者难以察觉。
持续监控与Cloudflare相关的域名,同时警惕分析独特的互斥体名称和C2 URL模式,对于预先防范新的攻击活动和保护关键基础设施至关重要。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
