揭秘MuddyWater组织的多款RMM软件攻击
MuddyWater组织又称Static Kitten、MERCURY,其相关活动可追溯到2017年初,并长期活跃于中东地区,同时也针对欧洲和北美国家进行攻击,主要针对行业包括政府行政机构、军事实体、通信和石油公司等。该组织特别擅长于鱼叉攻击,它们的攻击行为具有高度的隐蔽性,并且拥有多种攻击载荷武器,并在不断更新。
360高级威胁研究院捕获到了MuddyWater组织使用多个远程监控和管理(Remote Monitoring & Management,RMM)软件用于攻击。通过后台大数据关联分析,发现该组织自2020年以来一直依赖合法的RMM软件作为其攻击的有效负载,使用过的RMM软件包括但不限于Remote Utilities、ScreenConnect、SimpleHelp、Syncro、N-Able和最近的Atera Agent。鉴于该组织近期频繁使用这类具有完整签名的RMM软件进行渗透,因此我们在这里进行详细说明该组织利用此类软件攻击的过程,希望经过曝光披露,相关的企业和个人可以提高安全防范意识,以免遭受损失。一、 攻击活动分析
1. 攻击流程分析
需要说明的是,该组织特别擅长利用鱼叉钓鱼邮件进行攻击,其流程基本都是攻击者在邮件中携带恶意压缩包或文档文件,诱导用户打开此类文件时,从而进一步下载后续RMM文件,并且邮件正文、文档名、文档内容这些基本都有阿拉伯文伪装内容,使其具有欺骗性,警觉性不高的用户很容易中招,中招后该组织使用的RMM一般以服务方式启动,并且静默连接其主控端,用户在此过程中更不容易察觉。下面就每款RMM软件的攻击过程进行简要分析,希望用户警惕此类攻击。
2. 攻击中利用的RMM软件
2.1 Atera Agent
近期我们多次捕获到该组织利用Atera Agent工具进行攻击行为。MuddyWater组织通过携带恶意RAR样本的方式进行网络钓鱼传播,并且RAR文件进行加密处理以免被安全厂商软件拦截,通过邮件内容诱导用户层层递进,最终运行RMM工具。
安装一旦完成,攻击者可以在受害者电脑上执行任意操作,并提供命令执行、文件下载、上传和监控等各种功能,还可在系统上运行第三方RMM工具如Splashtop、AnyDesk、TeamViewer和ScreenConnect。
2.2 ScreenConnect
e=Access&y=Guest&h=instance-sy9at2-relay.screenconnect.com&p=443&c=mfa&c=mfa.gov&c=mfa&c=pc
攻击者打开instance-sy9at2-relay.screenconnect.com,就能远程控制受害者电脑、执行各种命令和安装工具等一系列操作。
2.3 Remote Utilities
下载的ZIP压缩包解压出经过UPX加壳的PE文件,执行时会释放出host.msi安装包,安装时创建描述为“Remote Utilities – Host”的服务并启动rutserv.exe程序。
2.4 N-Able
Diagnostic.exe功能就是打开诱饵文档和执行N-Able RMM安装程序。相关诱饵如下所示,内容为某中东国家公务员制度委员会的官方备忘录。
2.5 Syncro
2.6 SimpleHelp
二、归属研判
1. 攻击者释放RMM软件的流程基本一致,都是通过鱼叉邮件,并且邮件内容、主题、附件标题及内容都具有伪装性,诱导用户运行恶意文件或点击其中链接下载下一步载荷,其链接主要以一些文件托管网站为主,如onehub.com,这样在下载过程中不易被安全厂商查杀,这种链接在该组织其他攻击活动中也多次使用,符合该组织一贯作风;
2. 该组织使用的大量样本文件名以及伪装内容都是阿拉伯文,并且主要是某中东国家,再结合大量样本上传地址来源国家多集中在中东地区,这也符合MuddyWater组织的攻击目录;
3. 部分基础设施C2与之前MuddyWater其他攻击行动有所重叠,另外部分同类样本也被其他安全厂商标记为MuddyWater组织。
在本次详尽的攻击分析中,我们揭秘了MuddyWater组织如何巧妙地利用RMM软件进行攻击,并且这些样本都是攻击者通过层层伪装诱导用户执行或者下载,过程中涉及到了DOC、PDF、RTF、HTML、RAR等众多载体,具备较强的隐蔽性,从而达到控制用户电脑并窃取信息的目的。此外,本文披露的相关恶意代码、C&C只是MuddyWater组织近年来渗透过程中使用RMM攻击武器,除了这类软件外,攻击者还具备多种其他攻击武器,如DarkBeatC2、PhonyC2、MuddyC2Go、POWERSTATS、MORIAGENT等恶意程序,其武器库非常庞大,背后有强大的经济能力支撑。因此在这里提醒相关企业和个人加强安全意识,切勿执行未知样本和点击未知链接,以免中招,从而导致机密文件和重要情报的泄漏。
MD5:
eb0bba584138044e2d051deab69a57f1
809334c0b55009c5a50f37e4eec63c43
4055d8b5c2e909f5db8b75a5750a7005
cdeb7abfc7775c63745135431272dda3
c381c2cb8fdd6acf1636280b9424f573
473dfccda44f85d119aadefb92cd085e
24c72ffef74be81c5a7d4cb024110328
1e9a4e774b61acc8a6b35ee50417e661
ef6ec560efd05d21976a6fd3f489e206
a2571577f281eda9548d9047b37cbbb8
b181ecbb7394e3b1394a8c97af65b7e2
5d61614099d6d567441d15c58d6517b0
5d013b96a25f0610cd1ac45d61d44d7e
aba760ec55fdeccb35adb068443feb89
6bc591f4e8eb1ea54b4d6defd019bee8
23d99f912f2491749b89e4fd337273bc
242098c3e87822bffa7c337987065fbe
387fd14f5a89ec121c4c2c989063822f
83044ce990501559e34f5a64318778a8
93be13bbcad30440a0d0ef3868d67003
f1c935ce028022ab2a495eae83adacc6
fa55d4fe55eb4b9b34804d94bcd2f88f
7ce27d43bdbb6c9238c5d367a86dc37b
fa6d5164772ba72dc3931dae8e09b488
71ffc9ebbb80f4e2f405034662dfd424
3c1b429685e5f1853a3cd955bd0acbd7
64fc017a451ef273dcacdf6c099031f3
c67d578a14571e4f56430ce4bdc228f9
e8f3ecc0456fcbbb029b1c27dc1faad0
dd247ccd7cc3a13e1c72bb01cf3a816d
8d2199fa11c6a8d95c1c2b4add70373a
04afff1465a223a806774104b652a4f0
146cc3a1a68be349e70b79f9115c496b
2cd569dafe4f537150f0416b021c30ab
e8e84ac1ae83a45c260df146e97cb1cb
a8fce1e8e89053e143b5431cfa5209cb
960594cbdf938bcb03bd0637843d9154
b9cff91be734e2a071d3b0fc07dc8386
d16bb327c655ac5e52c9452cedb369da
ad4ce3a58db27f40e17abf633e319efe
d1b4ca2933f49494b4400d5bf5ab502e
244a4f81cff4a8dc5872628a40713735
aaa9db79b5d6ba319e24e6180a7935d6
7ed44b36850a5f192fb56768669d8090
66fddebf896a5631172436b740c06ad1
8e5ba70473c66334ced67ac3be9970e0
8b50f74907810cf23507b5bd8d83f13c
c4a88707bba871a667004a4a27de6785
a85460ff7d12ccc2b82da8143ac1f594
c5a737a346e0a83082b924712926af7d
7aeb1fe9ab3efffcf390eadaff696411
1f0b9aed4b2c8d958a9b396852a62c9d
de578308ac3403ae9e88616b8a292383
C&C:
https://ws.onehub[.]com/files/x68hqy91
https://ws.onehub[.]com/files/97lrcyvc
https://ws.onehub[.]com/files/gts7uevh
https://ws.onehub[.]com/files/v5ww52ne
https://ws.onehub[.]com/files/kwdphknm
https://freeupload[.]store/rALE7/wIHItUcE08.msi/download
https://kinneretacil.egnyte[.]com/fl/gRykrFURtE
https://filetransfer[.]io/data-package/tuMe19fV/download
https://ws.onehub[.]com/files/mz8ok6gf
http://a.storyblok[.]com/f/259791/x/91e2f5fa2f/attachments.zip
https://a.storyblok[.]com/f/259837/x/21e6a04837/defense-video.zip
https://ws.onehub[.]com/files/94otjyvd
https://ws.onehub[.]com/files/7w1372el
instance-sy9at2-relay.screenconnect[.]com
instance-uwct38-relay.screenconnect[.]com
https://1drv[.]ms/u/s!Ah4-vpXOyPCGdd1DkLHmbL2qXQU?e=RkaudW
https://www.dropbox[.]com/s/scj6n0l58yyb3f1/Purchase%20Order%20for%20Supplies--no12305570.zip?dl=0
https://a.storyblok[.]com/f/259791/x/94f59e378f/questionnaire.zip
51.255.19[.]178:443
51.254.25[.]36:443
178.32.30[.]3:443
146.70.149[.]61:8008
193.109.120[.]59:8008
360高级威胁研究院