新型 MuddyWater 攻击从 GitHub 下载 PowerShell 脚本
安全专家发现了一种新的恶意软件,它利用武器化的Word文档从GitHub下载PowerShell脚本。
威胁参与者还使用此PowerShell脚本从图像托管服务Imgur下载合法的图像文件,并将嵌入式Cobalt Strike脚本解码为目标Windows系统。
研究人员Arkbird发布了使用隐写术在图像中隐藏恶意代码的恶意软件的技术细节。
Arkbird指出,样本可能是Muddywater APT武库的一部分。
攻击链开始于执行嵌入在旧版Microsoft Word(* .doc)文件中的宏,该文件是Muddywater集团在其攻击中所采用的技术。
执行嵌入式宏后,它会启动powershell.exe并尝试执行托管在GitHub(已归档)上的PowerShell脚本 。
PowerShell由一行组成,该行从图像托管服务Imgur下载PNG文件。
PowerShell脚本分析了图像的一组像素值,以准备下一阶段的有效负载。
“正如BleepingComputer观察到的并在下面显示的那样,有效负载计算算法运行一个foreach循环,以迭代PNG图像内的一组像素值,并执行特定的算术运算以获得功能性ASCII命令。” 在Alee Sharma上报道了Bleeping Computer。
一旦被解码,该脚本就会显示出Cobalt Strike有效载荷,攻击者可以利用该有效载荷在受感染的Windows计算机上部署“信标”。
shellcode使用EICAR字符串来欺骗防御,使其认为该代码已用作安全测试的一部分,从而逃避了检测。
EICAR防病毒测试文件或EICAR测试文件是由欧洲计算机防病毒研究所(EICAR)和计算机防病毒研究组织(CARO)开发的计算机文件,用于测试计算机防病毒(AV)的响应程式。该测试文件可以使人们无需使用真实的计算机病毒就可以测试杀毒软件,而不是使用可能造成实际破坏的真实恶意软件。
有效负载通过WinINet 模块从C2接收指令。
研究人员指出,用作C2的域已于12月20日注册,并且不再处于活动状态,而该脚本已于12月24日上传到GitHub帐户中。
