新型 MuddyWater 攻擊從 GitHub 下載 PowerShell 腳本
安全專家發現了一種新的惡意軟件,它利用武器化的Word文檔從GitHub下載PowerShell腳本。
威脅參與者還使用此PowerShell腳本從圖像托管服務Imgur下載合法的圖像文件,并將嵌入式Cobalt Strike腳本解碼為目標Windows系統。
研究人員Arkbird發布了使用隱寫術在圖像中隱藏惡意代碼的惡意軟件的技術細節。
Arkbird指出,樣本可能是Muddywater APT武庫的一部分。
攻擊鏈開始于執行嵌入在舊版Microsoft Word(* .doc)文件中的宏,該文件是Muddywater集團在其攻擊中所采用的技術。
執行嵌入式宏后,它會啟動powershell.exe并嘗試執行托管在GitHub(已歸檔)上的PowerShell腳本 。
PowerShell由一行組成,該行從圖像托管服務Imgur下載PNG文件。
PowerShell腳本分析了圖像的一組像素值,以準備下一階段的有效負載。
“正如BleepingComputer觀察到的并在下面顯示的那樣,有效負載計算算法運行一個foreach循環,以迭代PNG圖像內的一組像素值,并執行特定的算術運算以獲得功能性ASCII命令。” 在Alee Sharma上報道了Bleeping Computer。
一旦被解碼,該腳本就會顯示出Cobalt Strike有效載荷,攻擊者可以利用該有效載荷在受感染的Windows計算機上部署“信標”。
shellcode使用EICAR字符串來欺騙防御,使其認為該代碼已用作安全測試的一部分,從而逃避了檢測。
EICAR防病毒測試文件或EICAR測試文件是由歐洲計算機防病毒研究所(EICAR)和計算機防病毒研究組織(CARO)開發的計算機文件,用于測試計算機防病毒(AV)的響應程式。該測試文件可以使人們無需使用真實的計算機病毒就可以測試殺毒軟件,而不是使用可能造成實際破壞的真實惡意軟件。
有效負載通過WinINet 模塊從C2接收指令。
研究人員指出,用作C2的域已于12月20日注冊,并且不再處于活動狀態,而該腳本已于12月24日上傳到GitHub帳戶中。
