伊朗APT组织MuddyWater使用多阶段载荷定制化恶意软件并利用Cloudflare隐藏攻击痕迹
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
自2025年初,伊朗APT组织MuddyWater的攻击活动显著增加,使用定制恶意软件和多阶段攻击,借助Cloudflare隐藏真实服务器。攻击者通过鱼叉式钓鱼邮件传播恶意文档,实施复杂的感染链,增加追踪难度。
🎯
关键要点
- 自2025年初,伊朗APT组织MuddyWater的攻击活动显著增加。
- MuddyWater组织转向使用定制化恶意软件后门和多阶段载荷的高度针对性攻击。
- 攻击者使用定制化工具,如BugSleep、StealthCache和Phoenix后门,建立隐蔽立足点和窃取敏感数据。
- 攻击载体主要为嵌入恶意Microsoft Office文档的鱼叉式钓鱼邮件。
- 受害者的文档包含VBA宏,下载并执行次级载荷,连接到Cloudflare保护的C2服务器。
- Cloudflare的反向代理服务增加了追踪C2端点的难度。
- 初始加载器解密并注入StealthCache后门,后者通过HTTPS建立伪TLV协议进行通信。
- MuddyWater采用多阶段方法投放三重载荷,增强了持久性并最小化取证痕迹。
- 通过利用Cloudflare隐藏真实服务器端点,MuddyWater构建了弹性十足的多阶段感染链。
- 持续监控与Cloudflare关联的域名对于预防新攻击活动至关重要。
🏷️
标签
➡️
