MuddyWater 黑客以 Chaos 勒索软件为诱饵发动攻击
- 浏览次数 26
- 喜欢 0
MuddyWater 伊朗黑客将其攻击行动伪装成 Chaos 勒索软件攻击,通过微软 Teams 进行社会工程学攻击,获取访问权限并实现长期驻留。
尽管此次攻击涉及凭证窃取、长期驻留、远程访问、数据窃取、勒索邮件,以及在 Chaos 泄露门户网站上发布信息,但攻击者使用的基础设施和技术与 MuddyWater 攻击相关。
Rapid7 的研究人员认为,勒索软件部分可能是为了掩盖真正的网络间谍活动,并增加溯源难度。
Rapid7 解释称:“这种策略凸显了国家支持的入侵活动与犯罪手法的融合,其中一个关键线索在于所采用的技术以及未采用的技术。这表明其主要目标并非经济利益。”
尽管有伪装,Rapid7 仍有一定把握将该事件归因于 MuddyWater,这是一个也被称为 “静态小猫”(Static Kitten)、“芒果沙暴”(Mango Sandstorm)和 “种子蠕虫”(Seedworm)的威胁组织。
这一结论基于基础设施重叠、该国家支持组织用于签署与该威胁行为者相关的 Stagecomp 和 Darkcomp 恶意软件的特定代码签名证书,以及各种操作手法。
MuddyWater 是一个伊朗国家支持的网络间谍组织,因其长期的网络入侵活动而臭名昭著,这些活动与该国情报和安全部(MOIS)的行动方向一致。
Chaos 是一个 “勒索软件即服务”(RaaS)组织,于 2025 年出现,以 “大猎物狩猎” 攻击、双重勒索策略,以及主要针对美国组织的社会工程学攻击而闻名。
Rapid7 调查的此次入侵始于通过微软 Teams 进行的社会工程学攻击。攻击者与员工发起聊天,建立屏幕共享会话,窃取凭证,操纵多因素身份验证(MFA)设置,在某些情况下,还部署 AnyDesk 进行远程访问。
凭证窃取通过伪装成微软快速协助(Microsoft Quick Assist)的网络钓鱼页面,或诱骗受害者将密码输入本地文本文件来实现。
在攻陷账户后,攻击者对包括域控制器在内的内部系统进行身份验证,并使用远程桌面协议(RDP)、DWAgent 和 AnyDesk 实现长期驻留。
接下来,他们利用一个恶意软件加载器(ms_upd.exe)植入一个伪装成微软 WebView2 应用程序的自定义后门(Game.exe)。
该恶意软件具备反分析和反虚拟机检查功能,支持 12 种命令,包括执行 PowerShell 和 CMD 命令、文件上传和删除,以及保持持久的 Shell 访问。
Rapid7 指出,MuddyWater 过去就曾使用勒索软件掩盖其网络间谍活动。2025 年末,该威胁行为者在对一家以色列组织的攻击中部署了麒麟(Qilin)勒索软件。
研究人员认为,在 2025 年末那次攻击被溯源到伊朗情报和安全部(MOIS)特工后,该威胁组织可能转而使用不同的勒索软件品牌。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文