.jpg)
一系列新的恶意软件使用Word文件和宏从GitHub下载PowerShell脚本。
此PowerShell脚本进一步从图像托管服务Imgur下载合法的图像文件,以在Windows系统上解码Cobalt Strike脚本。
多个研究人员可能将此载荷与MuddyWater(aka SeedWorm 和TEMP.Zagros)相关联, 后者是政府支持的高级持续威胁(APT)小组,于2017年首次 观察到, 主要针对中东实体。
Word宏启动GitHub上托管的PowerShell脚本
本周的研究人员Arkbird分享了有关一种新的基于宏的恶意软件的详细信息,该恶意软件具有回避性,并通过多步骤生成有效负载。
根据研究人员的说法,看起来像“ MuddyWater”的恶意软件链以APT组的样式作为旧Microsoft Word(* .doc)文件中的嵌入式宏发布。
在BleepingComputer的测试中,当打开Word文档时,它将运行嵌入式宏。该宏进一步启动 powershell.exe 并向其提供GitHub上托管的PowerShell脚本的位置。
来源:BleepingComputer
单行PowerShell脚本具有从图像托管服务Imgur下载实际PNG文件(如下所示)的说明。
尽管此图像本身可能是良性的,但是PowerShell脚本在计算下一阶段的有效负载时会使用其像素值。
来源:Imgur
在普通文件(例如图像)中隐藏代码,秘密数据或恶意有效负载的技术称为隐写术。
诸如Invoke-PSImage之类的工具通过在PNG文件的像素内对PowerShell脚本进行编码并生成单行命令来执行有效负载,来实现这一点。
如BleepingComputer所观察到的,如下所示,有效载荷计算算法运行一个 foreach 循环,以迭代PNG图像内的一组像素值,并执行特定的算术运算以获得功能性ASCII命令。
来源:BleepingComputer
解码的脚本执行“钴击”有效载荷
通过操纵PNG像素值获得的解码脚本是Cobalt Strike脚本。
Cobalt Strike 是合法的渗透测试工具包,它使攻击者可以在受感染的设备上部署“信标”,以远程“创建外壳,执行PowerShell脚本,执行特权升级或生成新会话以在受害系统上创建侦听器”。
实际上,解码后的shellcode包含EICAR字符串,以欺骗安全工具和SOC团队误将此恶意负载误用于安全专家正在执行的防病毒测试。
有效载荷,但是,通过确实接触命令和控制(C2)服务器的WinINet模块以接收另外的指令,根据 Arkbird。
与C2服务器Mazzion1234-44451.portmap.host 关联的域 在撰写本文时不再可用。
但是,研究人员指出“该域已在2020年12月20日左右被记录。GitHub帐户已将脚本推送到[VirusTotal]中的提交日期12月24日。”
在假日期间出现的这种回避性恶意软件压力为对手带来了另一个好处:当大多数员工可能会离开而不太警惕时,掩盖他们的足迹。
鉴于可能会受到仿冒者的攻击,权威性归属具有挑战性,但Nextron Systems的安全研究人员Florian Roth已将与该恶意软件相关的危害指标(IOC)添加到了MuddyWater IOC列表中。
研究人员还提供了YARA规则,可用于检测您环境中的变体。
下面给出了与此恶意软件活动中使用的带有宏的Word文档相关联的IOC:
- d1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81
- ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866
如果通过网络钓鱼电子邮件或通过任何其他方式收到可疑的Word文档,请不要打开它或在其中运行“宏”。
这并不是像GitHub和Imgur这样的合法服务第一次被滥用来提供恶意代码。
最近,可感染蠕虫的僵尸网络Gitpaste-12同时利用GitHub和Pastebin来托管其恶意负载并逃避检测。
此外, 已知诸如CryLocker的勒索软件组 滥用Imgur进行数据存储。
*编译:Domino
*来自:bleepingcomputer