MuddyWater黑客利用复古游戏策略攻击以色列组织

伊朗国家支持的高级持续性威胁组织"MuddyWater"近期对以色列组织发动攻击,其使用了伪装成经典游戏"贪吃蛇"的新型加载器"Fooder"以逃避安全检测,并部署了名为"MuddyViper"的后门,这标志着该组织的攻击手段正变得更加复杂和隐蔽。

“MuddyWater"黑客利用复古游戏策略攻击以色列组织

在关于伊朗主要间谍组织使用新恶意软件攻击以色列重要机构的新闻中,有一个有趣的细节:这个高级持续性威胁(APT)使用了一种伪装成复古视频游戏的加载器,以规避安全工具的检测。

“MuddyWater”——也被称为 TA450——是伊朗最活跃的 APT 组织之一。考虑到它的恶名及其与情报与安全部(MOIS)的联系,人们可能会认为其网络攻击高度复杂且隐秘。但 MuddyWater 的活动经常出现在 Dark Reading 的新闻报道中并非偶然——尽管它有成功之处,但也相对笨拙。不过,在今年以来针对以色列的一次活动中,该组织在变得更隐蔽方面取得了有意义的进展。

正如我们所报道的,ESET 记录了一场始于去年 9 月 30 日并于今年 3 月 18 日结束的活动。在此期间,MuddyWater 攻击了一家埃及科技公司和 17 家以色列组织:三所大学、三家工程公司、两个地方政府机构,以及科技、交通、公用事业和制造业各一家公司。其余五家组织尚未确认身份。

在那波攻击中,该组织对其防御规避技术做了一些适度但有意义的改变,并首次推出了上述新的恶意软件加载器,该加载器借鉴了复古手机游戏"贪吃蛇"的机制,以巧妙躲避安全扫描器。

新加载器模仿老式诺基亚游戏

许多恶意软件家族使用加密的命令与控制(C2)通信来对受害者和安全软件隐藏其恶意本质。MuddyWater 的最新工具集——包括三个窃密程序和一个名为"MuddyViper"的新后门——更进一步,通过使用 Windows 原生加密框架 CNG 来实现这一点。CNG 可能使恶意软件能更好地融入其他合法的 Windows 活动中。

ESET 的研究人员表示,像这样的"利用原生功能"行为,对于过去的 MuddyWater 活动来说是不典型的。“相反,它通常会重用大量来自渗透测试人员和合法软件开发人员(例如来自 StackExchange)的代码。使用相当新的 Windows CNG API,表明它正朝着完全自主的恶意软件开发迈进,这将使防御者和威胁研究人员更难追踪其活动。”

MuddyWater 最有趣的新恶意软件是"Fooder”,这是一个将 MuddyViper 和其他有效载荷反射式加载到内存中的程序。Fooder 似乎从 90 年代末首先在诺基亚手机上流行起来、后来多次被移植到其他平台的古老视频游戏"贪吃蛇"中汲取了灵感,并轻微地伪装成该游戏。

在"贪吃蛇"中,玩家控制一条蛇(一个线段),可以向上、下、左、右移动。目标是吃掉屏幕上随机位置一次出现一个的食物点,这为玩家赢得分数,但也延长了蛇的长度。如果蛇头撞到自己的身体或游戏区域的方形边界,游戏就结束。

传统上,蛇的移动由一个简短的基于实时循环决定。在短暂、固定的时间间隔,蛇头会移动一格。它要么继续沿着当前方向前进,要么如果玩家输入了新方向,它将在下一个时间间隔朝那个方向移动。

Fooder 有自己的循环机制,在抽象意义上模仿并可能受该游戏启发。加载器不会一到达目标系统就立即运行,而是使用"贪吃蛇"风格的循环,配合"Sleep" API 调用,将自己延迟一段异常长的时间。自动化安全程序工具只会检测到这种相当无趣的行为,如果人工介入亲自查看 Fooder,他们会在代码中看到一个写着"Welcome to snake [sic] Game"的头部,这为循环提供了上下文。大约几分钟后——一旦它通过了检查——Fooder 才会开始其恶意活动。

对 ESET 的研究人员来说,“贪吃蛇"的把戏一部分是俗套的噱头,一部分是真正实用的。他们认为"这可能会迷惑受害者并使自动化分析变得困难,但大多数恶意软件研究人员可以通过在虚拟环境中调整时间来处理。然而,大多数受害者无法使用此类工具,将依赖通常运行时间较短(通常少于 10 分钟;在这种情况下,看起来 MuddyWater 的目标是最少延迟 3-5 分钟)的商业沙箱。”

MuddyWater 高调的攻击链

除了对"贪吃蛇"的致意外,2025 年初在以色列的活动似乎有意避开了高调、容易出错的手动键盘活动,而是将其利用链自动化。而且,它推出了比其通常手段更安静、更优雅的恶意软件。

MuddyWater 攻击通常始于鱼叉式网络钓鱼邮件,附带一个链接到文件共享服务的 PDF 附件,该服务托管某种商业远程监控和管理(RMM)工具。如果受害者进而安装了 RMM,攻击者就可以使用它来部署更多的自定义恶意软件——通常是使用 Powershell 或 Go 编写的相对基础的后门脚本。

这种攻击逻辑可能非常合理,但黑客自己在操作方式上并不特别灵巧。“MuddyWater 从事了一些不必要地生成日志和安全应用遥测的活动,而更复杂的威胁行为者通常会安静得多,或者有意制造噪音,“一位不愿在本文中具名的 ESET 研究员通过电子邮件澄清道。

例如,MuddyWater 经常在将数据外传到其命令与控制(C2)基础设施之前,将数据写入受害者磁盘,从而留下不必要且易于发现的痕迹。除此之外,ESET 研究员表示,“典型的 MuddyWater 操作通常涉及在同一受害系统上部署 RMM 和后门,而后门相比 RMM 几乎没有什么优势,在同一受感染系统上多次尝试以多种方式转储 LSASS,以及进行手动键盘探索和外传,但很明显操作员没有剧本,并且经常不知道他们正在访问的是哪种操作系统。”

归根结底?在不寻常的规避战术和新的、更复杂的手段之间,MuddyWater 似乎正在演变——对于该地区的企业来说,值得关注。

根据报告,“这次活动表明 MuddyWater 在操作成熟度上有所进化。部署以前未记录的组件——如 Fooder 加载器和 MuddyViper 后门——标志着其在加强隐蔽性、持久性和凭证窃取能力方面所做的努力。使用游戏启发的规避技术、反向隧道和多样化的工具集,反映了比早期活动更精细的方法,尽管该组织操作不成熟的痕迹仍然存在。”

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次