APT组织MuddyWater针对中东和北非政府展开攻击活动——每周威胁情报动态第245期（10.31-11.06）

APT组织MuddyWater针对中东和北非政府展开攻击活动

据网络安全研究人员最新发布的报告显示，伊朗国家支持的APT组织MuddyWater近期针对中东和北非地区的政府机构发起了一场精心策划的网络攻击活动，通过部署更新版的Phoenix后门来窃取敏感情报和知识产权。这一活动从2025年8月17日左右开始，攻击者首先注册了命令与控制域名screenai[.]online，并利用被入侵的邮箱账户向目标发送鱼叉式钓鱼邮件，这些邮件伪装成合法通信，附带恶意Microsoft Word文档，诱导收件人启用宏功能以激活攻击链。

MuddyWater组织自2017年以来一直活跃，被认为是伊朗情报与安全部部门下属的网络攻击小组，主要针对政府、国防、能源、电信、金融和学术领域，尤其在中东地区频繁行动，但其影响已扩展至南亚、欧洲、北非和北美。该组织惯用社会工程学手段，通过鱼叉式钓鱼邮件携带武器化文档部署混淆的PowerShell脚本，并借助侧加载DLL实现持久化。近年来，他们还开发了自定义C2框架如DarkBeatC2和MuddyC2Go，并偶尔结合勒索软件进行敲诈。此次Phoenix后门是其轻量级植入物的最新变体，旨在服务于伊朗的国家政治、经济和安全利益。报告指出，此次行动与针对能源行业的类似操作高度重叠，使用相同的C2域名和宏代码，显示出攻击者的区域情报收集意图。攻击目标包括官方.gov域名邮箱以及个人Yahoo、Gmail和Hotmail账户，涉及超过100个实体，攻击者显然进行了详细侦察，利用被劫持的信任渠道进行初始访问。

在技术分析中，研究人员对恶意样本进行了逆向工程分析，发现攻击链从鱼叉式钓鱼邮件开始，一旦用户启用Word文档中的宏，嵌入的VBA代码就会作为投放器激活，解码并将加载器FakeUpdate写入磁盘。随后，FakeUpdate使用AES加密标准解密嵌入的有效负载，并将其注入自身进程，从而执行Phoenix后门的第四版本。该后门会创建名为sysprocupdate.exe的互斥体，收集系统信息如计算机名、域名、Windows版本和用户名，然后将自身复制到C:ProgramDatasysprocupdate.exe路径，并通过WinHTTP连接C2服务器进行命令轮询。为了实现持久化，它修改注册表键HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon的Shell值，此外还嵌入COM DLL引用Mononoke.exe作为备选机制，虽然本次实例中未执行，但这与CannonRat工具有重叠，表明MuddyWater工具链的持续演进。

Phoenix后门支持多种功能，包括休眠、文件上传下载、Shell命令执行和休眠间隔更新。C2服务器screenai[.]online托管开放目录，暴露了额外工具如Action1远程监控管理软件和伪装成计算器应用的Chromium_Stealer可执行文件。该服务器还包含自定义凭证窃取器，针对Google Chrome、Opera、Brave和Microsoft Edge浏览器，通过枚举配置文件、从Local State文件提取加密密钥、使用OS加密API解密、终止进程解锁数据库、解密登录数据，并将输出加密存储在C:UsersPublicDownloadscobe-notes.txt路径中，随后重启浏览器。这一窃取过程与VBA宏的字符串解码方法相似，进一步确认了与MuddyWater的关联。攻击者还使用隧道工具如Chisel规避网络检测，并借助合法RMM工具如SimpleHelp和ScreenConnect进行后渗透访问。

参考链接：

https://blog.polyswarm.io/muddywater-targets-mena-governments-with-phoenix-backdoor

Silent Lynx APT组织针对中亚展开攻击活动

近日，网络安全研究人员发现一起名为“Operation Peek-a-Baku”的网络攻击活动。这个攻击活动是由APT组织Silent Lynx发起的，主要针对塔吉克斯坦首都Dushanbe的政府机构和外交实体进行情报窃取，凸显了中亚地区地缘政治紧张局势下网络威胁的升级。攻击者巧妙利用定制恶意软件和本土化伪装手段，实现了长期潜伏和数据外泄。

从2023年中旬开始，Silent Lynx组织针对Dushanbe地区的政府组织、外交机构以及相关个人发起攻击，这些目标的选择都是基于其战略重要性，包括外交通信、政策决策和区域安全情报等。攻击者通过鱼叉式网络钓鱼邮件作为初始入口，这些邮件伪装成与塔吉克斯坦政府事务相关的官方文件，一旦受害者打开附件，攻击链便被激活，建立持久驻留，从而对目标网络进行长期监控。攻击活动涵盖键盘记录、屏幕截图、文件窃取以及命令与控制通信等，最后将窃取的数据回传至攻击者控制的服务器上。整个攻击活动持续数月，一些感染设备甚至维持了数月之久，导致敏感数据外泄，严重威胁到中亚地区的国家安全。

研究人员于2023年底通过对中亚网络的常规监测发现这一行动，初始线索源于政府系统向可疑域名的异常网络流量。整个调查分析过程是从钓鱼活动中获取恶意附件样本，包括第一阶段加载器“PeekDrop”，它使用RC4加密算法解密并执行后续载荷。通过逆向分析发现“PeekDrop”将代码注入合法进程如explorer.exe中，以实现隐蔽执行。随后，在沙箱环境中执行样本，发现了多阶段感染链。攻击者利用Windows合法工具如PowerShell和WMI进行执行，避免额外二进制文件落地，这种LOLBins技术进一步增强了隐秘性。后续载荷包括后门“PeekBack”，提供远程壳访问、文件管理和截屏功能，这些模块包含与塔吉克斯坦本地相关的字符串和自定义加密密钥。

恶意软件变体采用C++和汇编语言构建，具有模块化插件扩展性，使用动态API解析和合法进程注入等反分析技巧。此外，攻击者修改开源工具如Mimikatz进行凭证窃取，并伪装成合法实体以规避检测。命令与控制服务器使用模仿塔吉克斯坦机构的域名，通过HTTPS和受控代理隧道传输数据。恶意组件打包加密，利用混淆技术绕过杀毒软件，数据分阶段打包后通过加密通道外传，确保攻击行动的隐秘性。最后，研究人员通过恶意代码相似性、以往行动的TTP重叠、地缘政治背景和目标画像等维度，最终把“Operation Peek-a-Baku”的网络攻击活动的归属确认为Silent Lynx组织。

图 1 “Operation Peek-a-Baku”的网络攻击活动示意图

参考链接：

https://www.seqrite.com/blog/operation-peek-a-baku-silent-lynx-apt-dushanbe-espionage/

全球网络在线平台发生重大数据泄露事件

全球知名平台Reputation.com近日发生重大数据泄露事件，其未设置强制身份验证与访问控制机制的服务器导致320GB日志数据公开暴露。服务器内含近1.2亿条后端系统记录，这些数据涵盖时间戳、企业唯一标识、用户ID、会话ID等多种唯一标识符。以及包含用户账户信息、姓名、权限设置、产品版本及分析跟踪数据的Cookie字符串，还有事件数据、内容详情等各类通用日志信息。该服务器运行的数据可视化与探索工具用于处理企业海量数据，泄露的日志按月度分类索引，部分索引包含数百万份文档且占用数十GB存储空间。可见系统活跃度极高，而其承担的全面日志记录与监控功能，完整捕获了用户与应用程序的每一次交互操作，进一步放大了泄露后的风险隐患。

此次泄露数据可以给黑客发起网络攻击和诈骗提供了多种可乘之机，核心风险集中在多个方面。由于Reputation.com的社交套件可帮助客户管理、发布和分析社交渠道，黑客可利用暴露的Cookie滥用其与Facebook、Instagram、X（原 Twitter）、LinkedIn、谷歌商家资料等平台的集成功能，劫持客户社交媒体账户，进而篡改企业名录、发布不当内容、扰乱营销计划，或通过伪造帖子、恶意公告、操纵信任信号等方式破坏品牌声誉。同时，平台提供的社交分析、日程安排、情感追踪和统一收件箱等功能，也可能被黑客利用以拦截或篡改客户回复、调查问卷、通知信息及公关活动素材等多渠道通信内容。考虑到Reputation.com的服务覆盖汽车、医疗、零售、酒店等多个行业，业务涉及评论管理、客户反馈处理及多平台内容发布。所以，此次泄露数据的攻击面辐射范围极广，可能引发连锁式安全事件。

参考链接：

https://cybernews.com/security/reputation-com-leak-exposes-sensitive-data/

GhostGrab安卓银行木马软件深度分析

近日，网络安全研究人员发现了一款名为GhostGrab的新型复合型Android恶意软件。该恶意软件以“隐蔽加密货币挖矿+大规模金融数据窃取”为核心攻击目标，通过高度伪装的传播渠道、模块化的攻击架构及高级持久化技术，对全球Android用户的财产安全与设备完整性构成严重威胁。目前已形成规模化感染态势，攻击者控制的Firebase命令与控制（C2）服务器已记录32台受感染设备信息及1519条用户敏感消息。涉及Android 9至Android 15多个系统版本。

GhostGrab的传播链条极具迷惑性，主要通过恶意域名kychelp [.] live展开传播，该域名会通过JavaScript自动跳转，强制用户浏览器下载名为伪装成银行定期存款相关应用的恶意安装包。安装过程中，恶意软件会模仿谷歌应用商店的更新界面，诱导用户授予安装权限和电池优化豁免权，进而完成隐藏payload的植入。攻击其背后的基础设施还包括uasecurity.org、accessor.pages.dev等域名，用于C2通信和挖矿节点连接等。同时攻击者还借助Firebase作为隐蔽传输通道，规避传统安全检测。

作为一款模块化设计的恶意软件，GhostGrab集多重恶意功能于一体。在核心功能上，它不仅能系统性收集用户银行账户密码、借记卡信息（卡号、CVV、有效期、PIN码）、身份证号、手机号等核心数据。还会拦截包含一次性验证码（OTP）的短信，通过关键词过滤提取银行交易相关短信内容，为账户接管和交易欺诈提供支持。同时，它会在设备后台秘密运行门罗币（Monero）挖矿程序，通过硬编码钱包地址和专用矿池获利。持续消耗设备CPU和电池资源，导致设备异常耗电、过热等。在持久化与隐身方面，GhostGrab会隐藏应用图标，通过前台服务搭配无声音频循环、闹钟接收器等技术抵抗系统查杀。攻击者还申请电池优化豁免权，并利用设备启动、屏幕开关等系统事件实现自动重启，确保长期潜伏。此外，它还能借助Firebase作为C2通道，支持呼叫转移、短信发送/转发等远程指令，将用户通话和验证信息路由至攻击者控制的号码。同时在应用内部嵌入本地化钓鱼页面，通过WebView模拟银行KYC认证、登录流程，诱骗用户主动输入敏感信息。

从技术攻击流程来看，GhostGrab分为投递器（Dropper）和窃取模块两部分。投递器阶段，恶意软件通过伪装界面获取安装权限后，会注册Firebase云消息推送服务获取设备令牌，下载加密挖矿组件libmine-arm64.so，构建挖矿参数并启动挖矿进程。进入窃取模块阶段后，它会静默安装并请求READ_SMS、CALL_PHONE、MANAGE_NOTIFICATIONS等超过20项高危权限，涵盖短信控制、通话管理、存储访问、通知监听等，实现全方位监控。随后通过多层钓鱼页面逐步诱导用户输入个人信息、银行卡详情、网银密码等。同时读取设备SIM卡信息、拦截所有incoming短信，过滤银行交易相关关键词提取敏感内容。最终将所有窃取的数据以JSON格式打包，通过Firebase实时数据库同步至攻击者服务器。其中包含明文存储的身份证号、CVV码、ATM密码等核心敏感信息。值得注意的是，该恶意软件还会通过修改HTTP头伪装成iOS设备，使用CATEGORY.INFO替代CATEGORY.LAUNCHER隐藏应用图标，进一步提升隐蔽性。

参考链接：

https://www.cyfirma.com/research/ghostgrab-android-malware/

DragonForce勒索软件事件深度分析

近日，网络安全研究人员详细分析了一起与DragonForce勒索软件相关的网络攻击事件。这次攻击事件是针对一家制造业客户，揭示了勒索软件即服务（RaaS）平台的运作方式及其对企业的潜在威胁。事件发生在2025年8月底至9月初，攻击者从内部设备入侵制造业网络，进行数据窃取和文件加密，最终部署勒索软件。最初攻击入侵行为发生在工作时间内被检测到，但由于企业缺乏自动响应，才让攻击行为持续了数周。

研究人员通过针对攻击方法和技术细节的分析发现，攻击者采用多阶段策略以确保持久性和隐蔽性。首先在侦察阶段，攻击者使用OpenVAS和NetScan工具进行内部网络扫描。在设备上执行SMB查询、ICMP扫描、共享枚举和Active Directory/LDAP搜索，还通过SMB删除“delete.me”文件来表明扫描活动。接着是初始访问与凭证暴力破解，攻击者针对管理员凭证如“administrator”、“Admin”等进行SMB和其他协议的暴力破解尝试，成功后使用新凭证进行Kerberos登录和SMB会话，实现提权升级。在命令与控制（C2）环节，通过Windows注册表操作实现持久化，包括修改WMI访问控制和任务调度，还涉及BaseRegOpenKey和BaseRegQueryValue函数等。C2通信使用包括SSH、HTTP和非常见端口，以及使用DNS隧道等与外部IP进行通信活动。横向移动方面，攻击者利用新管理员凭证进行SMB会话、RDP连接、PowerShell等技术方法在网络中传播。数据泄露方面，攻击者是从内部设备，通过SSH协议22端口向俄罗斯托管的外部IP 45.135.232[.]229传输大量数据。另外，该IP还与扫描探测、漏洞利用和网络钓鱼环节相关，可能用于凭证窃取或恶意软件分发。最后是勒索软件部署，攻击者通过SMB连接加密文件，执行移动、写入和读写等操作。加密后文件扩展名为“.df_win”，赎金通知写入多个位置，包括Web根路径。攻击者在数据外泄后立即部署勒索软件，体现了他们进行混合勒索的策略。此外，攻击还涉及规避与持久化，如异常SMB删除、通过ITaskScheduler和AT服务的任务调度，以及MIME类型转换以隐藏活动。

参考链接：

https://www.darktrace.com/blog/tracking-a-dragon-investigating-a-dragonforce-affiliated-ransomware-attack-with-darktrace