关于防范MuddyWater组织网络攻击风险的提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现，MuddyWater 组织近期针对政府、军事、电信、能源等机构实施网络攻击，窃取系统凭证、机密文件等敏感数据，现将有关风险提示如下：

           一、网络攻击过程

攻击者通过鱼叉邮件投递双重伪装载荷，一类是伪装成PDF文档的可执行文件（如“xxx.pdf.exe”），另一类则在DOC文档中嵌入恶意宏代码。一旦受害者误启PDF文档，伪装文档将立即释放UDPGangster后门（支持远程控制、窃密等）到本地。一旦打开嵌入恶意宏代码的DOC文档，宏代码将会被静默执行并从自身解密释放后续载荷，将其保存为txt文件后重命名为装载UDPGangster的novaservice.exe可执行文件。攻击载荷成功在内存部署后门后，UDPGangster会将自身复制为SystemProc.exe，并通过写入注册表HKCU\...\UserShellFolders\Startup实现自动启动。同时，MuddyWater APT黑客组织采用动态C2连接策略，优先读取本地配置文件，失败则回退至硬编码C2地址。后门程序会收集主机名、工作组、系统版本及用户名等数据，加密回传至服务端，最终建立对目标主机的远程控制。

二、相关IOC信息

    MD5：07502104c6884e6151f6e0a53966e199

         409d02d6153af220e527fd72256ee3a5

         561b2983d558283c446ff674ff6138c3

         7bfbc76c7eeb652d73b85c99ee83b339

         9e06b36f4da737b8d699a6846c2540e9

         a39f74247367e0891f18b7662c8e69b5

         a546d2363a4b94e361d0874b690c853b

         a9235540208fa6a25614c24a59e19199

         aa75a0baebc93d4ca7498453ef64128a

         bed77abc7e12230439c0b53dd68ffaf7

        d84812961fc7cd8340031efd7b5508a8

        dd6af28d1a03193fc76001b04d5827cc

        de14abbda6a649d9ec90a816847f95db

        e09a720574a6594b1444ebc1d6cca969

        e5dd608292b6f421b0c108816d25fc5e

    SHA256：7ea4b307e84c8b32c0220eca13155a4cf66617241f96b8af26ce2db8115e3d53

    aea51eaafacd03ade98875b107481d46a8f79ea9d903172b2ed8458c785a8273

    d766a8ff123449a8c87fb3570c885439ccfd7d6151847d6d1f44ee7a59c4845c

    ff62c294a2bcfee0d291b15ff1fd1733d08ab901281acf9c089f4662b4002a69

    SHA1：0543e6c36ca89e5d3e13656af0d1b4af0b7585c9

          7bb0d162bbaa462c516502d1db56818d24ad825f

          903e97ee731796fde34153c71eb718a1015ba358

          d00280f07f2159adb16d8f76b7838e3e86773a7e

    关联域名：157.20.82.75：1269；61.7.198.12：1259

    关联IP地址：157.20.82.75；64.7.198.12

三、防范措施

请各单位给予重视,建议一是立即禁用Office宏执行策略，阻断恶意文档释放攻击载荷；部署邮件网关动态沙箱，深度检测伪装PDF的可执行文件及带宏文档；实时监控注册表路径HKCU\Software\...\UserShellFolders\Startup异常写入，清除SystemProc.exe后门持久化项,严防发生网络攻击事件。二是加强安全监测,做好应急处置准备,如发生重大网络和数据安全事件请及时报告。