阳江信息港
汽车
当前位置:首页 > 汽车

腾讯御见威逼情报中心MuddyWater

发布时间:2019-05-14 21:25:56 编辑:笔名

近日,腾讯御见威胁情报中心监控到MuddyWater(污水) APT组织再度利用宏文档进行载荷投递,通过搜索引擎查询发现,该组织利用的宏文档中嵌有mersin emniyet mdrlğ关键字的图标文件,初步推断是针对土耳其相关部门发起的一次定向攻击。目前,该类攻击并未在我国发现。

据了解,MuddyWater(污水) APT组织以从事络特务活动为目的,主要攻击目标集中在政府、金融、能源、电信等相关部门,受害者主要分布在土耳其、巴基斯坦、沙特阿拉伯、阿联酋、伊拉克等中东地区国家。自2017年11月被曝光以来,该组织擅长利用powershell等脚本后门,通过powershell在内存中履行,减少新的PE文件在受害者机器落地,行动极为隐蔽,安全软件难以捕捉。这种方式使得该组织的样本有着较低的检测率,同时也加大了安全机构的取证难度。

(图:MuddyWater(污水)APT组织攻击流程)

今年3月,该组织便开始活跃,并针对土耳其相关部门发起定向攻击,此次再度来袭依然延续了手握大量攻陷站的特点,目的是进行钓饵的投递及胜利果实的回收。不过技术方面得到了进一步优化,全程使用经过屡次高度混淆的powershell脚本,关键的木马功能以云控的方式进行下发,以便掩盖其攻击目的。另外脚本一旦运行后,会设置开机自启动、解密c2(指后门、木马控制服务器)、创建任务计划、获得计算机信息等,然后不断地访问c2,等待和执行新指令。

据腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松介绍,该组织攻击使用的宏文档中背景故意做得比较模糊,但是图标及启用宏的提示文字却异常鲜艳,这是一种典型的社会工程学式的攻击方式,目的是让受害者在好奇心的驱使下点击启动内容按钮,从而让藏在文档中的木马运行起来。对此,他提醒广大用户,切勿随意打开来历不明的文档,可利用腾讯电脑管家哈勃分析系统进行安全检测。同时,政府及企业用户可通过腾讯安全御界防APT邮件关,解决歹意邮件的攻击威逼。

(图:腾讯御界高级威胁检测系统)

目前,腾讯御界高级威逼检测系统已可以检测并阻断该轮攻击的连接行为。御界高级威逼检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

凭仗基于行为的防护和智能模型两大核心能力,御界高级威逼检测系统可高效检测未知威胁,并通过对企业内外边界处络流量的分析,感知漏洞的利用和攻击。通过部署御界高级威逼检测系统,及时感知歹意流量,检测钓鱼址和远控服务器地址在企业络中的访问情况,保护企业络安全。

月经后期的日常调理
如何更有效的治疗痛经
什么食物治疗痛经