伊朗国家黑客组织 MuddyWater 的新动向

Seedworm 又被称为 “MuddyWater”、“MERCURY“ 和 “Static Kitten”，首次现身于2017年。Seedworm 主要专注于中东或附近区域的组织机构。

该威胁行动者高度活跃，因使用大量工具集而为人所知。本月早些时候，该zuzhi被指活跃利用微软在8月修复的 Zerologon 漏洞。

ClearSky 和赛门铁克分别发布报告称，MuddyWater 最近在武器库中新入了一款下载器 PowGoop。本年初，它被指通过 Thanos 勒索软件攻击位于中东的组织机构。

PowGoop 中包含一个 DLL 加载器和一个基于 PowerShell 的下载器，后者的目的是解密并运行前者。该下载器是一个伪造的 Google Update 机制，类似于 MoriAgent / PudPoul DLL 加载器，此前曾被归因于 MuddyWater。

Palo Alto Networks 公司在今年9月4日发布报告指出，“虽然我们无法证实它们之间的关联，但我们认为部署 Thanos 勒索软件的威胁行动者同时使用了我们称之为 PowGoop 的下载器。威胁行动者将使用 PowGoop 下载器连接到远程服务器以下载并执行额外的 PowerShell 脚本。

这些攻击发现于2020年7月6日和9日，包含一款能够更好地躲避分析工具的勒索软件变体，可以监控新增的存储设备，并能够覆写 MBR，从而使 Thanos 在本质上非常具有破坏性。

上周，ClearSky公司在一份报告中将 PowGoop 和 MuddyWater 关联在一起，并表示黑客组织似乎开始将擦除器部署于隐藏在明显是勒索攻击的攻击活动中。其它黑客组织也应用了擦除器，而 Shamoon 是其中最为臭名昭著的一款。

ClearSky 公司指出，“尽管我们未看到在野的破坏执行，但由于破坏性功能的存在、对国家黑客组织的归因以及过去对该向量的实现，它更可能是为了实施破坏而非部署勒索软件实现金钱目标。”

赛门铁克公司也表示 MuddyWater 和 PowGoop 之间存在关联，原因是发现其中要给组织的后门安装在系统上的下载器上。另外，MuddyWater 组织的Powerstats (Powermud) 后门显然被 PowGoop 的 DLL 侧加载所替换。赛门铁克公司表示，“在 Seedworm 活跃的同样机器上，部署了 PowGoop 工具。最近几个月，这款工具也被部署在遭 Seedworm 攻击的多家组织机构中。”

PowGoop 似乎用于多种攻击活动中，目标包括位于阿富汗、阿塞拜疆、柬埔寨、伊朗库、以色列、格鲁吉亚、土耳其和越南的政府、教育、石油和天然气、房地产、技术和电信组织机构。

赛门铁克公司分析指出，使用 Remadmin 远程代码执行工具部署 PowGoop，同时导致工件遭识别说明 PowGoop 伪装成一款谷歌工具并注意到 SSF 和 Chisel 的使用。

赛门铁克公司的研究人员分析PowGoop 的活动后发现，下载器可能是“Powerstats 的演变而不是完全的新工具。不过该公司表示无法有足够的证据支撑这一假设。另外，该公司尚无法确认攻击活动实施破坏的原因所在。

赛门铁克公司表示，“赛门铁克尚未找到擦除器或勒索软件遭 PowGoop 感染的证据。这表明 PowGoop 和 Thanos 在同一个攻击活动中现身是一种巧合，或者如果它们之间存在关联，那么 PowGoop 并不仅用于传播 Thanos。“

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。