山石安全能力中心｜MuddyWater APT组织网络攻击事件与防御指引

MuddyWater APT组织网络攻击事件与防御指引

事件概要

近日，工信部（CSTIS）监测到， 伊朗APT组织MuddyWater（又名Static Kitten、Seedworm或TEMP.Zagros）发起了一场针对中东外交、海事、金融和电信实体的网络钓鱼活动，旨在窃取系统凭证、机密文件等敏感数据。

攻击详情

本次攻击可分为以下四个关键阶段：

• 初始投递：精准诱导与双重伪装载荷

攻击者以“网络安全指南”为幌子，针对特定行业（如 IT、MSP、人力资源等）发送高可信度的鱼叉式钓鱼电子邮件，样例如下：

为了提高成功率，攻击者准备了两种类型的载荷：

1. 双后缀可执行文件：伪装成PDF图标，但实际文件名为xxx.pdf.exe。

2. 恶意宏文档：嵌入VBA宏代码的Word文档（DOC），诱导受害者点击“启用内容”， 具体如下：

• 载荷部署：静默释放与动态伪装

一旦受害者触发载荷，系统便进入自动化感染流程：

1. 直接释放：若打开PDF伪装文件，直接在本地释放UDPGangster后门。

2. 宏解密部署：若打开DOC文档，VBA宏将启动，从自身提取并解密后续载荷。

3. 为了避开杀毒软件的静态扫描，它先将数据保存为.txt 文件，再重命名为伪装成合法服务的novaservice.exe。通过引入基于Rust语言编写的RUSTRIC (Archer RAT)，利用其低噪声、强混淆的特性，进一步降低了被安全软件（EDR/AV）检出的概率。

• 权限维持：多重手段确保“长期驻留”

为了在受害机器上实现持久化控制，MuddyWater采取了以下动作：

1. 自我复制：UDPGangster将自身复制并重命名为看似系统进程的SystemProc.exe。

2. 注册表劫持：通过写入注册表键值HKCU\...\UserShellFolders\Startup实现开机自动启动。

3. 环境探测：恶意程序会主动收集主机名、工作组、系统版本及用户名，并检测本地已安装的安全软件，为后续的横向移动和避让策略提供情报。

• 通信与控制：动态C2策略与情报窃取

在回连阶段，该组织展示了极高的灵活性：

1. 动态C2机制：程序优先读取本地生成的配置文件以获取最新的指令服务器地址；若读取失败，则回退至硬编码在代码中的固定C2地址（如nomercys.it[.]com）。

2. 数据渗漏：收集到的主机敏感数据经过加密处理后回传至服务端，正式建立对目标主机的远程控制通道，方便后续进行文件操作、指令下达及凭证窃取。

事件分析

本次攻击事件表明，MuddyWater并非仅仅是在进行工具迭代，而是一场防御对抗的底层升级——从脚本后门到Rust语言原生程序的跨越。这意味着攻击者已经突破了传统“黑名单”防御的边界。这种技术的演进直接导致了防御重心的失衡，使得原本清晰的攻击轨迹变得模糊。以下是基于RUSTRIC技术特性及其在实战中表现出的五大深层影响分析：

• 长期潜伏与高隐蔽持续驻留： Rust植入程序利用Windows注册表启动项实现静默持久化，结合“延迟信标（Sleep/Delay）”技术，使其能在系统重启后长期维持控制。由于Rust语言的编译特性，其在磁盘上的取证留痕（Artifacts）极少，常规扫描难以发现其踪迹。

• 动态访问能力扩展： 该植入体采用先进的模块化架构。操作员无需重新下发二进制文件，即可直接在现有通道上动态启用信息搜集、C2任务下达或凭证窃取等功能。这种“动态插拔”模式规避了因频繁传输新载荷而触发的安全预警。

• 静态网络对抗措施效果不佳： 通过分层C2架构（Tiered C2）配合故障转移（Failover）、请求抖动（Jitter）及多协议切换，攻击者成功弱化了传统防御体系。这使得基于固定 Domain/IP封锁或流量特征识别的过滤机制效果大打折扣，导致边界防御“慢人一步”。

• 事件响应团队的可见性有限： 植入程序大量采用内存执行（In-Memory Execution）和异步任务处理，极大地增加了事件响应（IR）的难度。安全团队在进行内存取证、攻击链溯源及威胁归因时，往往面临数据不完整或上下文断裂的困境。

• 目标锁定和情报收集风险增加： 按需部署模块允许攻击者根据受害者的行业角色（如外交、海事、电信等）进行定制化监视。这种高精准的打击方式不仅扩大了敏感数据的暴露范围，也为后续更深层次的渗透提供了精准的跳板。

防御建议

针对MuddyWater这种具备高迭代能力的APT组织，传统静态防御体系已难以有效应对。我们建议结合山石网科（Hillstone Networks）的专业产品和服务，构建多维一体的主动防御体系：

• 山石云沙箱：深度侦测，让未知威胁无所遁形

针对鱼叉式钓鱼邮件中的恶意文档，山石云沙箱通过多引擎动态检测技术，在隔离的虚拟环境中强制触发宏脚本及后续载荷。通过对Rust植入体进行深层反仿真与启发式分析，能在威胁进入内网前完成风险定性，有效化解“零日”攻击风险。

• 山石网科EDR：行为溯源，精准识别Rust变种威胁

山石网科终端安全检测与响应平台（EDR）采用高级行为关联分析技术， 实时监控从“VBA宏诱导加载”到“Rust二进制文件启动”，再到“注册表静态持久化”的完整攻击链条，从而实现精准阻断。

• 山石网科威胁情报服务：情报驱动，实现预警式主动防御

针对持续展开的APT攻击行动，及时的情报输入至关重要。山石网科威胁情报平台为您追踪全球APT组织最新动态，动态推送高价值 IOC 列表（包括 MD5、IP、域名及最新变种Hash）。结合攻击趋势预警，助力企业安全策略随攻击者的演进同步升级，变“被动修补”为“预警防御”。

总结

MuddyWater是一个极其活跃且具有高度组织性的网络攻击组织，普遍被认为具备伊朗背景（隶属于伊朗情报与安全部，MOIS）。自2017年首次被发现以来，该组织主要针对中东、欧洲、以及北美亚洲的政府、电信、石油和金融领域进行间谍活动。

在过去，MuddyWater一直依赖PowerShell和VBS加载器进行初始访问和入侵后的操作。 而在本次攻击活动中，其引入了基于Rust的植入程序, 利用图标欺骗和恶意Word文档来传播。这些植入程序能够实现异步C2、反分析、注册表持久化和模块化入侵后能力扩展等，反映MuddyWater在技术上不断演变，逐渐而稳步地减少了以合法远程访问软件作为后渗透工具的依赖，转而使用各种定制恶意软件库，其中包括Phoenix、UDPGangster、BugSleep（又名MuddyRot）和MuddyViper等工具。标志着MuddyWatter正朝着更加结构化、模块化和低噪声的远程访问木马 (RAT) 能力迈进。

相关威胁指标

MD5：

07502104c6884e6151f6e0a53966e199

409d02d6153af220e527fd72256ee3a5

561b2983d558283c446ff674ff6138c3

7bfbc76c7eeb652d73b85c99ee83b339

9e06b36f4da737b8d699a6846c2540e9

a39f74247367e0891f18b7662c8e69b5

a546d2363a4b94e361d0874b690c853b

a9235540208fa6a25614c24a59e19199

aa75a0baebc93d4ca7498453ef64128a

bed77abc7e12230439c0b53dd68ffaf7

d84812961fc7cd8340031efd7b5508a8

dd6af28d1a03193fc76001b04d5827cc

de14abbda6a649d9ec90a816847f95db

e09a720574a6594b1444ebc1d6cca969

e5dd608292b6f421b0c108816d25fc5e

d2b0785b69f8578bdddf039634507f47

3a95186019af1943a0ea0f8eb07a288f

c478e472f6223e7ee92cff8b459e55e2

47e312ecca7af098bb1c6c69188f54cf

74e75830252220cbbe7e3adec4340d2d

d70ddec75de88bf4ca7cbb67b56627f6

404f5b1ff4ed035c6178d1789192c4d8

08d8ab5dd375847ce909297e59e7df00

cd555279b6438260ec71b32e4d02cd9d

d276b8c1660f264d64eff3474718509b

SHA256：

7ea4b307e84c8b32c0220eca13155a4cf66617241f96b8af26ce2db8115e3d53

aea51eaafacd03ade98875b107481d46a8f79ea9d903172b2ed8458c785a8273

d766a8ff123449a8c87fb3570c885439ccfd7d6151847d6d1f44ee7a59c4845c

ff62c294a2bcfee0d291b15ff1fd1733d08ab901281acf9c089f4662b4002a69

76aad2a7fa265778520398411324522c57bfd7d2ff30a5cfe6460960491bc552

f38a56b8dc0e8a581999621eef65ef497f0ac0d35e953bd94335926f00e9464f

7523e53c979692f9eecff6ec760ac3df5b47f172114286e570b6bba3b2133f58

e61b2ed360052a256b3c8761f09d185dad15c67595599da3e587c2c553e83108

a2001892410e9f34ff0d02c8bc9e7c53b0bd10da58461e1e9eab26bdbf410c79

c23bac59d70661bb9a99573cf098d668e9395a636dc6f6c20f92c41013c30be8

42ad0c70e997a268286654b792c7833fd7c6a2a6a80d9f30d3f462518036d04c

3d1e43682c4d306e41127ca91993c7befd6db626ddbe3c1ee4b2cf44c0d2fb43

e081bc408f73158c7338823f01455e4f5185a4365c8aad1d60d777e29166abbd

ddc6e6c76ac325d89799a50dffd11ec69ed3b5341740619b8e595b8068220914

SHA1：

0543e6c36ca89e5d3e13656af0d1b4af0b7585c9

7bb0d162bbaa462c516502d1db56818d24ad825f

903e97ee731796fde34153c71eb718a1015ba358

d00280f07f2159adb16d8f76b7838e3e86773a7e

014c2534b99c73eb30b659c08e8b2d063f21ffc0

b7e56f4b31f4fdbe844c3d4a4156f1d0e3b3ea97

326b808f4f933f20e4e8686e9a6e93454c8ed334

ab4edcc5f568c03f7912f363259d4c105c5970e1

b4f5555d5b934b927de4950131952e17e7194665

41cb80cbc998007d8e0fd004884b1e31ecbf975d

6bad2c491e9101796ae0530701b23f05193c7ca7

b4e787c74dd6ba8067ce69eaea00c19866f3b138

b9b4d3f3095cd87c634ece27f14bd59a6d425375

17235aff5838668e5adbfb6eb431d2a5e0da13f4

域名：

nomercys.it.com

IP：

157.20.182.75

64.7.198.12

ATT&CK 技术栈

山石网科是中国网络安全行业的技术创新领导厂商，由一批知名网络安全技术骨干于2007年创立，并以首批网络安全企业的身份，于2019年9月登陆科创板（股票简称：山石网科，股票代码：688030）。

现阶段，山石网科掌握30项自主研发核心技术，申请560多项国内外专利。山石网科于2019年起，积极布局信创领域，致力于推动国内信息技术创新，并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发，旨在通过自主创新，为用户提供更高效、更安全的网络安全保障。目前，山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、AI安全、安全服务、安全教育等10大类产品及服务，50余个行业和场景的完整解决方案。