追踪MuddyWater行动:2025年基础设施、恶意软件与攻击行动解析

本文深入分析伊朗国家支持的高级持续性威胁组织MuddyWater在2025年的活动演变,包括其基础设施管理、新型恶意武器库及操作策略,揭示了该组织在工具开发、目标选择和基础设施管理方面的成熟度提升。

引言

自2025年初以来,Group-IB分析师观察到MuddyWater(被称为伊朗国家支持的高级持续性威胁组织)在中东和欧洲地区持续活跃,在欧洲地区的活动显著增加。

我们对该组织活动的最新分析揭示了其操作特征和武器库近期变化的新情报。该组织已显著减少基于远程监控和管理的广泛入侵,回归更具针对性的操作方式。虽然RMM软件仍在被使用,但该组织越来越依赖自定义开发的后门,如Phoenix和StealthCache,以及基于PowerShell的后门。

近期活动显示,他们仍然依赖网络钓鱼进行投递,利用带有恶意宏的恶意文档进行感染。基础设施分析揭示了积极使用亚马逊网络服务托管恶意资产,并利用Cloudflare服务隐藏基础设施指纹并阻碍分析。Group-IB分析师还识别出MuddyWater基础设施托管在多个商业提供商上,包括M247、SEDO、DigitalOcean、OVH和防弹提供商(如Stark Industries),表明其有意混合使用主流和弹性基础设施。

这些发现共同表明MuddyWater仍然高度活跃,并展现出更高的操作复杂性。

关键发现

  • MuddyWater显著减少了机会性RMM活动,转而采用针对性鱼叉式网络钓鱼和自定义恶意软件
  • 观察到多种新的恶意软件变体和工具被MuddyWater武器化:StealthCache、Phoenix、Fooder、LiteInject等
  • MuddyWater继续在中东活跃,并在欧洲和美国的活动增加
  • 该组织继续依赖网络钓鱼和恶意文档进行初始访问
  • MuddyWater在操作中武器化开源golang项目
  • 网络基础设施多样化:AWS、Cloudflare、M247、OVH和防弹托管如Stark Industries
  • 通过跟踪其基础设施和开源情报足迹来暴露MuddyWater活动

战略背景

MuddyWater代表一个复杂的高级持续性威胁组织。据信其在伊朗情报与安全部指导下运作,作为德黑兰进攻性网络能力的关键组成部分。自至少2017年以来活跃,这个国家支持的行为体执行与伊朗地缘政治目标一致的战略间谍活动和破坏性活动。

恶意软件与工具分析

BugSleep – 后门

BugSleep是MuddyWater使用C/C++开发的自定义后门,于2024年中首次发现。它在2024年下半年被广泛部署在针对中东、土耳其、阿塞拜疆和几个欧洲国家组织的活动中。

技术亮点包括:

  • 两种变体:独立可执行文件或嵌入加载器中
  • 创建名为DocumentUpdater的互斥体
  • 使用自定义伪TLV协议进行C2通信
  • 支持文件上传、下载、交互式shell等功能

StealthCache – 后门

StealthCache是比BugSleep更高级的后门。它通过HTTP(S)请求与C2端点/aq36定期通信,支持丰富的功能集:

代码 描述 参数 输出端点
207 执行窃取程序并发送结果到C2 - /mq65
800 发送EDR/反病毒进程列表到C2 - /rq13
805 显示Windows凭据提示并发送到C2 - /rq13

Phoenix – 后门

Phoenix是归因于MuddyWater的具有最小化后门功能的恶意软件。它使用简单XOR算法解密嵌入的PE文件,将其映射到进程内存中并转移执行。

支持的命令包括:

  • Cmd:启动交互式shell
  • Persist:使用注册表项安装恶意软件
  • Upload:将文件写入磁盘

Fooder – 加载器

Fooder是一个加载器,用于在内存中加载、解密和运行加密打包的恶意软件有效载荷。一些观察到的样本作为DLL,旨在通过合法应用程序进行侧加载。

关键技术特征:

  • DLL侧加载和多线程方法
  • 使用Windows加密API进行有效载荷解密
  • 广泛的日志记录和Sleep函数使用

网络基础设施

MuddyWater通过多样化基础设施展示了增强的操作复杂性,采用主流和弹性技术及服务提供商。这种方法表明其有意最大化操作灵活性并逃避检测。

C2后端和流量特征

MuddyWater的C2基础设施大量使用基于Python的技术,其中werkzeug和uvicorn C2处理程序最为普遍。Apache部署也被观察到,通常返回503状态代码,被认为是诱饵。

基础设施特征

观察到MuddyWater利用了多样化的托管提供商,包括云服务和防弹托管服务。Cloudflare保护几乎总是在与MuddyWater相关的域上观察到。域注册主要通过Namecheap进行。

OPSEC实践

尽管是一个多产的APT组织,MuddyWater经常犯OPSEC错误,使研究人员能够跟踪和归因其基础设施。在分析其网络基础设施时,仍然常见域、证书、服务器的重用。

追踪方法

威胁情报分析师通常采用多种追踪方法来识别与威胁行为体相关的额外基础设施:

  1. 共享IP地址:多个恶意域或样本解析到同一IP地址
  2. HTML/Web服务器横幅中的独特字符串:搜索独特字符串或模式
  3. TLS证书信息:基于TLS证书属性进行追踪
  4. 注册商和WHOIS信息:分析WHOIS数据寻找模式
  5. 自治系统号码:识别与恶意IP相关的ASN
  6. 文件哈希和独特文件特征:搜索相关样本和C2地址
  7. 基础设施托管提供商:观察APT组织使用的特定托管提供商

防御建议

组织可以通过实施以下措施减少暴露于MuddyWater操作的风险:

  • 威胁情报:及时了解MuddyWater TTP并订阅可靠的威胁情报源
  • 威胁追踪:使用最新TTP和IOC主动追踪MuddyWater基础设施
  • 网络钓鱼意识:对员工进行识别和报告网络钓鱼的定期培训
  • 宏控制:默认禁用Office宏;强制执行GPO策略限制从不信任源执行
  • 端点安全:部署和正确配置EDR和反病毒技术
  • 实施多因素认证:在所有关键账户上强制执行MFA
  • 文件系统监控:监控Public用户文件夹下的可疑目录创建
  • 网络防御:检查并基准化出站网络流量
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次