APT组织“MuddyWater”的攻击活动最早出现于2017年，它多以间谍活动为目的，受害者主要分布在巴基斯坦、沙特阿拉伯、阿联酋和伊拉克等中东国家，攻击是通过Microsoft Office Word宏部署的PowerShell脚本进行的。在2018年3月，“MuddyWater”再度活跃，利用Powershell作为后门程序发起新一轮网络攻击。

据悉，该组织自2017年11月被曝光以来，不但没有停止攻击，反而更加积极的改进攻击武器，在土耳其等国家持续活跃，主要攻击目标集中在政府、金融、能源、电信等行业用户。目前该攻击虽然尚未在国内地区发现，但用户同样不可放松警惕。

在2018年5月，研究人员发现了一个新的样本，趋势科技将其定义为W2KM_DLOADR.UHAOEEN，它可能与本次攻击活动有关。与之前的攻击活动一样，本次攻击中，攻击者再次使用了嵌入恶意宏的Microsoft Word文档，这些宏能够执行PowerShell (PS)脚本，从而实施恶意载荷。在本次分析的样本中，研究人员发现，与之前攻击显著的区别是，此次攻击的恶意样本不会直接下载Visual Basic脚本(VBS)和PowerShell组件文件，而是先对文件本身的所有脚本进行编码，然后再对脚本进行解码，解码后再将其删除。这样做的目的就是执行有效载荷，而不需要下载组件文件。

通过以上对样本的分析，本次的攻击很可能就是“MuddyWater”的最新活动的特征，特别是在恶意攻击方法上，因为攻击者使用了嵌入宏的恶意文档，通过这些文档来进行钓鱼攻击。

在对恶意宏的脚本进行混淆处理后，攻击者就会实现预期的后门载荷，而这种方法通常用于“MuddyWater”发动的攻击中。

攻击过程的分析

本次攻击的过程和以前攻击过程的区别

研究人员本次分析的样本是一个Word文档，如果受害者不小心点击了它，攻击就会开始。然而，与之前的攻击不同的是，这些进行钓鱼的文档包含了许多不同的主题。新的钓鱼文件没有使用与政府或电信相关的文件，而是使用商业促销或其他主题，这可能表明攻击目标不再局限于特定的行业或组织。

在新的攻击活动中使用的文件主题样本

只要用户点击该文件，恶意宏就可以开始运行，安装在用户的设备上，然后在用户不知情的情况下执行恶意的例程。

一旦宏被启用，如果使用相同模板的新文档被打开或者当模板本身作为document0被打开时。它将使用Document_Open()事件自动执行恶意例程。

通过Document_Open()执行恶意例程

恶意宏的代码片段使用了三个主要函数，具体来说是:

1.红色框中包含的函数是Document_Open()事件，其中将执行/调用所有子函数；

2.绿色框中的代码负责处理文档正文中显示的图像；

3.蓝色框中的代码构建主要的Powershell命令和脚本，这些命令和脚本负责执行以下例程。

恶意宏的一个代码片段，彩色方框标出了不同的功能区

解码和去混淆过程

对代码的分析显示，PowerShell脚本能够解码恶意文档的内容，从而导致执行另一个编码的PowerShell脚本。

示例代码中包含的Powershell脚本

第二个编码的PowerShell脚本，它在第一个脚本被解码后执行

这将导致更具可读性的PowerShell脚本能够在%Application Data%\Microsoft\CLR\*目录中删除各种组件。主要的PowerShell文件invoker.ps1使用这些组件运行最终的有效载荷——PRB-Backdoor。

在%Application Data%\Microsoft\CLR\*目录中删除的组件

PRB-Backdoor是一个后门，它的名称取自最终PowerShell脚本载荷中使用的函数，如图所示。

PRB-Backdoor的名称来源

这个后门会与它的命令和控制(C&C服务器) hxxp://outl00k[.]net进行通信，以发送和接收以下命令。

如果这些样本确实与MuddyWater有关，这意味着MuddyWater的幕后团队正在不断迭代其攻击技术和方法。

通过进一步分析该组织近期的几次攻击活动，趋势科技的研究人员发现，目前该APT组织已有成熟的js、Powershell后门程序和完整的混淆反查杀流程。此外，该APT组织正积极探索非PE文件后门，或意图发起更大规模的网络攻击。

IoCs

检测为W2KM_DLOADR.UHAOEEN的样本的IoCs：240b7d2825183226af634d3801713b0e0f409eb3e1e48e1d36c96d2b03d8836b