伊朗黑客组织新增攻击手段,政府、军方、电信和学术界易受影响

伊朗黑客组织MuddyWater APT新增攻击方法，政府、军方、电信和学术界都易受到影响。

据外媒报道，伊朗黑客组织MuddyWater APT在他们的黑客武器库中添加了新攻击手段。这个APT组织最初于2017年被发现，主要目标为中东和亚洲地区。伊朗情报和安全部将黑客小组分成了两个小组。第一个小组专门攻击目标系统，另一个小组使用鱼叉式网络钓鱼进行社会工程操作。

最近，Clear Sky的研究人员观察到组织的影响范围广泛，其中包括政府、军方、电信和学术界。研究人员发现，恶意文档包含嵌入式宏，一旦受害者打开文件，就会下载有效负载，最终利用远程代码执行漏洞CVE-2017-0199，允许攻击者使用Windows OLE（对象连接与嵌入）中存在的漏洞。

根据最近的活动，黑客进行了鱼叉式网络钓鱼攻击，邮件中的恶意文件伪装成联合国在塔吉克斯坦的一项发展计划的官方文件。

一旦受害者打开该文件，将创建新的VBS文件，该文件使用多个VBE、JavaScript和Base64进行编码。此恶意软件从IP地址185.244.149[.]218进行第二阶段的下载，然后与几个恶意文件进行通信，并将其中一个文件放入用户设备。

当用户点击文件后，会出现一个错误消息，然后出现另一个错误消息让受害者恢复文件内容。同时，恶意软件识别漏洞CVE-2017-0199，该漏洞允许远程攻击者通过文档执行任意代码。在受害者确认第二个错误消息之后，该漏洞将被激活，Word软件将与C2服务器通信。

研究人员还在命令与控制服务器通信过程中发现了一个RAT文件，并使用PowerShell脚本提取了RAT文件。这是一个初始脚本，它要求受损的计算机向攻击者报告系统上运行的进程。然后，它向C2服务器发送数十个通信请求，以便接收共享被盗数据的命令。