MuddyWater 持续瞄准中东发起攻击-前端万花筒

2020 年第四季度以来，持续MuddyWater 一直针对中东国家发起持久的瞄准攻击行动。根据最新发现的中东样本，研究人员认为攻击活动仍处于活跃状态。发起MuddyWater 被认为是攻击由伊朗革命卫队运营的组织，主要维护伊朗的持续国家利益。

攻击通常从一个压缩文件开始，瞄准文件中包含一个嵌入 VBA 宏代码的中东恶意 Word 文档。源码下载

根据文件内容，发起可以看出似乎为讲阿语的攻击用户专门设计的。也有一些样本包含英语的持续通用消息，诱导用户启用宏代码。瞄准

恶意文档样本

尽管不能明确确定攻击的中东具体目标，但根据分析攻击针对巴基斯坦、发起哈萨克斯坦、攻击亚美尼亚、叙利亚、云计算以色列、巴林、土耳其、南非、苏丹等国家。这些国家都被认为是伊朗的利益相关，或者是伊朗在其他地区的发展与战略相关。

宏代码实际上非常简洁，将一个模糊程度不高的香港云服务器 VBS 脚本写入 C:\ProgramData 或 Windows 启动文件夹，文件名为 Temp_[3-5 随机字符].txt。

恶意 VBA 宏代码

释放的样本是一个小型的 RAT。首先通过 whoami 进行侦察，再结合所属国家信息构建 C&C 通信的 URI 。样本中发现的国家代码有：

PK -> 巴基斯坦AR -> 阿根廷AM -> 亚美尼亚SY -> 叙利亚IL -> 以色列BH -> 巴林TR -> 土耳其SA -> 沙特SD -> 苏丹KK -> 哈萨克斯坦

去混淆代码

函数在执行 explorer.exe 后再调用一个函数从一个数组中选择一个 IP 地址，如果所选 IP 没有回复将会重新选择。C&C 使用的高防服务器 HTTP GET 请求结构为：http://{ IP_address }/getCommand?guid={ recon_string }。