近日，騰訊御見威脅情報(bào)中心監(jiān)控到MuddyWater（污水） APT組織再度利用宏文檔進(jìn)行載荷投遞，通過搜索引擎查詢發(fā)現(xiàn)，該組織利用的宏文檔中嵌有“mersin emniyet müdürlü?ü”關(guān)鍵字的圖標(biāo)文件，初步推斷是針對(duì)土耳其相關(guān)部門發(fā)起的一次定向攻擊。目前，該類攻擊并未在我國發(fā)現(xiàn)。

據(jù)了解，MuddyWater（污水） APT組織以從事網(wǎng)絡(luò)間諜活動(dòng)為目的，主要攻擊目標(biāo)集中在政府、金融、能源、電信等相關(guān)部門，受害者主要分布在土耳其、巴基斯坦、沙特阿拉伯、阿聯(lián)酋、伊拉克等中東地區(qū)國家。自2017年11月被曝光以來，該組織擅長利用powershell等腳本后門，通過powershell在內(nèi)存中執(zhí)行，減少新的PE文件在受害者機(jī)器落地，行動(dòng)極為隱蔽，安全軟件難以捕捉。這種方式使得該組織的樣本有著較低的檢測(cè)率，同時(shí)也加大了安全機(jī)構(gòu)的取證難度。

（圖：MuddyWater（污水）APT組織攻擊流程）

今年3月，該組織便開始活躍，并針對(duì)土耳其相關(guān)部門發(fā)起定向攻擊，此次再度來襲依然延續(xù)了手握大量攻陷網(wǎng)站的特點(diǎn)，目的是進(jìn)行誘餌的投遞及勝利果實(shí)的回收。不過技術(shù)方面得到了進(jìn)一步優(yōu)化，全程使用經(jīng)過多次高度混淆的powershell腳本，關(guān)鍵的木馬功能以云控的方式進(jìn)行下發(fā)，以便掩蓋其攻擊目的。另外腳本一旦運(yùn)行后，會(huì)設(shè)置開機(jī)自啟動(dòng)、解密c2（指后門、木馬控制服務(wù)器）、創(chuàng)建任務(wù)計(jì)劃、獲取計(jì)算機(jī)信息等，然后不斷地訪問c2，等待和執(zhí)行新指令。

據(jù)騰訊電腦管家安全專家、騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松介紹，該組織攻擊使用的宏文檔中背景故意做得比較模糊，但是圖標(biāo)及啟用宏的提示文字卻異常鮮艷，這是一種典型的社會(huì)工程學(xué)式的攻擊方式，目的是讓受害者在好奇心的驅(qū)使下點(diǎn)擊“啟動(dòng)內(nèi)容”按鈕，從而讓藏在文檔中的木馬運(yùn)行起來。對(duì)此，他提醒廣大用戶，切勿隨意打開來歷不明的文檔，可利用騰訊電腦管家哈勃分析系統(tǒng)進(jìn)行安全檢測(cè)。同時(shí)，政府及企業(yè)用戶可通過騰訊安全“御界防APT郵件網(wǎng)關(guān)”，解決惡意郵件的攻擊威脅。

（圖：騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)）

目前，騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)已經(jīng)可以檢測(cè)并阻斷該輪攻擊的連接行為。御界高級(jí)威脅檢測(cè)系統(tǒng)，是基于騰訊反病毒實(shí)驗(yàn)室的安全能力、依托騰訊在云和端的海量數(shù)據(jù)，研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)。

憑借基于行為的防護(hù)和智能模型兩大核心能力，御界高級(jí)威脅檢測(cè)系統(tǒng)可高效檢測(cè)未知威脅，并通過對(duì)企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡(luò)流量的分析，感知漏洞的利用和攻擊。通過部署御界高級(jí)威脅檢測(cè)系統(tǒng)，及時(shí)感知惡意流量，檢測(cè)釣魚網(wǎng)址和遠(yuǎn)控服務(wù)器地址在企業(yè)網(wǎng)絡(luò)中的訪問情況，保護(hù)企業(yè)網(wǎng)絡(luò)安全。