APT组织MuddyWater利用OpenSSH攻击企业CFO 部署RDP与计划任务建立持久化访问
内容提要
APT组织MuddyWater针对全球财务高管发起复杂钓鱼攻击,伪装成招聘邮件,通过Firebase托管钓鱼页面诱骗目标。攻击者利用多阶段流程安装NetBird和OpenSSH,创建隐藏管理员账户,以确保隐蔽的远程访问和增强攻击持久性。
关键要点
-
APT组织MuddyWater针对全球财务高管发起复杂钓鱼攻击,伪装成招聘邮件。
-
攻击者通过Firebase托管钓鱼页面诱骗目标,并使用定制化验证码挑战。
-
该组织战术升级,利用合法远程工具NetBird和OpenSSH建立持久化后门。
-
攻击链始于鱼叉式钓鱼邮件,受害者被引导至Firebase托管域名。
-
受害者完成伪造验证码测试后,下载伪装成PDF的恶意ZIP压缩包。
-
压缩包内含VBScript文件,启动多阶段感染流程,部署远程访问能力。
-
攻击基础设施已迁移至新地址,多个Firebase项目使用相同钓鱼工具包。
-
初始VBS下载器获取第二阶段有效载荷,静默安装NetBird和OpenSSH。
-
攻击者创建隐藏管理员账户,确保不被发现,并配置远程桌面协议服务。
-
恶意软件通过计划任务确保服务可靠性,隐藏新安装的远程访问软件。
延伸问答
MuddyWater组织的攻击目标是什么?
MuddyWater组织的攻击目标是全球的首席财务官及财务高管。
MuddyWater是如何进行钓鱼攻击的?
MuddyWater通过伪装成招聘邮件,诱骗目标访问Firebase托管的钓鱼页面,并使用定制化验证码挑战。
攻击者使用了哪些工具来建立持久化访问?
攻击者使用了合法的远程工具NetBird和OpenSSH来建立持久化访问。
MuddyWater的攻击链是如何运作的?
攻击链始于鱼叉式钓鱼邮件,受害者下载伪装成PDF的恶意ZIP压缩包,内含VBScript文件,启动多阶段感染流程。
攻击者如何确保其恶意软件不被发现?
攻击者创建隐藏的管理员账户,并通过计划任务确保恶意软件的可靠性和隐蔽性。
MuddyWater的攻击基础设施有什么变化?
攻击基础设施已从先前的命令控制服务器迁移至新的地址,使用多个Firebase项目进行钓鱼。
