APT组织MuddyWater利用OpenSSH攻击企业CFO 部署RDP与计划任务建立持久化访问
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
APT组织MuddyWater针对全球财务高管发起复杂钓鱼攻击,伪装成招聘邮件,通过Firebase托管钓鱼页面诱骗目标。攻击者利用多阶段流程安装NetBird和OpenSSH,创建隐藏管理员账户,以确保隐蔽的远程访问和增强攻击持久性。
🎯
关键要点
- APT组织MuddyWater针对全球财务高管发起复杂钓鱼攻击,伪装成招聘邮件。
- 攻击者通过Firebase托管钓鱼页面诱骗目标,并使用定制化验证码挑战。
- 该组织战术升级,利用合法远程工具NetBird和OpenSSH建立持久化后门。
- 攻击链始于鱼叉式钓鱼邮件,受害者被引导至Firebase托管域名。
- 受害者完成伪造验证码测试后,下载伪装成PDF的恶意ZIP压缩包。
- 压缩包内含VBScript文件,启动多阶段感染流程,部署远程访问能力。
- 攻击基础设施已迁移至新地址,多个Firebase项目使用相同钓鱼工具包。
- 初始VBS下载器获取第二阶段有效载荷,静默安装NetBird和OpenSSH。
- 攻击者创建隐藏管理员账户,确保不被发现,并配置远程桌面协议服务。
- 恶意软件通过计划任务确保服务可靠性,隐藏新安装的远程访问软件。
➡️
