MuddyWater是一个著名的威胁攻击组织，自2017年以来一直很活跃。其目标为中东和中亚地区，主要使用带有恶意附件的鱼叉式网络钓鱼电子邮件。最近，他们与3月份针对土耳其、巴基斯坦和塔吉克斯坦机构的行动相关。

自2017年Malwarebytes率先报道他们对沙特阿拉伯政府进行精心的间谍攻击以来，该组织已经露出真容。在第一份报告之后，其他安全公司对其进行了广泛的分析。通过这一切，我们只看到他们在使用的工具、技术和程序（TTP）方面发生了很微小的变化。

但是，最近我们观察到一些类似于已有MuddyWater TTP的传播文档。这些文档名为Raport.doc或Gizli Raport.doc（标题意为土耳其语“报告”或“秘密报告”）和maliyeraporti（Gizli Bilgisi）.doc（土耳其语中的“财务（机密信息）”），所有这些文档都是从土耳其上传到Virus Total的。我们的分析显示文档释放了一个新的后门，用PowerShell编写了MuddyWater已有的POWERSTATS后门。但是，与之前使用POWERSTATS不同，在此次行动中，命令和控制（C&C）通信和数据传输是通过使用云文件托管提供商的API完成的。

下面的屏幕截图展示了恶意附件，这些附件伪装成真实的、类似于典型网络钓鱼文档。其中的图像显示了属于不同土耳其政府组织的模糊标识，这些标识增加了伪装并诱使用户相信文件是合法的。然后，文档通知用户它是“旧版本”并提示他们启用宏以正确显示文档。如果目标受害者启用宏，则恶意进程将继续。

图1. Fake Office文档试图让用户启用恶意宏

图2.土耳其政府机构假办公室文档

宏包含以base52编码的字符串，MuddyWater之外的威胁行为者很少使用它。众所周知，该组织使用它来编码PowerShell后门。

启用宏后，一个.dll文件（嵌入了PowerShell代码）和.reg文件将被释放到％temp％目录中。然后宏运行以下命令：

“C:\Windows\System32\cmd.exe” /k %windir%\System32\reg.exe IMPORT %temp%\B.reg

运行此注册表文件会将以下命令添加到Run注册表项：

rundll32 %Temp%\png.dll,RunPow

图3.运行注册表项

我们假设RunPow代表“运行PowerShell”，并触发嵌入.dll文件中的PowerShell代码。PowerShell代码有几层混淆。第一层包含一个长base64编码和加密代码，其中的变量使用英语诅咒词命名。

图4.加密的PowerShell代码

其他层是简单的混淆PowerShell脚本。但最后一层是主后门。这个后门有一些类似于之前发现的Muddywater后门的功能。

首先，此后门收集系统信息并将各种信息连接成一个长字符串。获取到的数据包括：操作系统名称、域名、用户名，、P地址等。每条信息之间使用分隔符“::”。

图5.从受害者系统收集的系统信息字符串

之前的MuddyWater收集了类似的信息，但使用了不同的分隔符：

图6.从受害者系统收集的系统信息字符串，来自旧版Muddywater后门样本

如上所述，此版本和旧版Muddywater后门之间的另一个区别是C&C通信是通过将文件释放到云提供商来完成的。进一步分析时，我们看到通信方法根据目的使用名为<md5（硬盘序列号）>的文件和各种扩展名。

· .cmd – 要执行的命令的文本文件

· .reg – 由myinfo函数生成的系统信息，请参见上面的截图

· .prc – 已执行的.cmd文件的输出，仅存储在本地计算机上

· .res – 已执行的.cmd文件的输出，存储在云存储上的

图7. .cmd文件内容的示例

图8. .reg文件内容的示例

图9. .res文件内容的示例

在旧版本的MuddyWater后门和最近的后门中，采用异步机制，而不是直接连接到机器并发出命令。恶意软件操作员将命令保留在.cmd文件中执行，稍后返回包含已发出命令结果的.res文件。

然而，在较旧的MuddyWater后门中，内容编码方式不同。这些文件临时存储在受感染的网站上。最近的后门使用合法的云存储服务提供商。

可以通过用空字符串替换“00”，然后从十六进制转换为ASCII，然后反转字符串来解码.res文件。下图是图9中解码的.res文件。

图10.解码的.res文件

后门支持以下命令：

· $upload – 将文件上传到文件托管服务

· $dispos – 删除持久性

· $halt – exit

· $download – 从托管服务下载文件

· No prefix – 通过Invoke Expression（IEX）执行命令，这是一个在本地计算机上运行命令或表达式的PowerShell命令

根据分析，我们可以确认针对的目标是与金融和能源部门有关的土耳其政府组织。这与之前的MuddyWater活动很相似。众所周知，这些活动针对多个土耳其政府实体。如果该组织负责这个新的后门，显示了其如何改进和试验新工具。

解决方案和措施

此类后门的主要传播方式是鱼叉式网络钓鱼电子邮件或垃圾邮件，它们使用社交工程来操纵目标诱使受害人启用恶意文档。重要的是，所有机构和企业的雇主和员工都能够识别网络钓鱼攻击，并将合法电子邮件与恶意电子邮件区分开来。意识到这些威胁及其使用的策略是有效的第一步。

一般而言，用户在电子邮件方面应始终谨慎行事。包括避免点击链接或下载任何文档，除非确定是合法的。

IoC