潜入中东的“浑水”（二）

（应素材提供者要求，匿名发布，如有侵权请告知删除）

为了隐藏C2服务器的真实地址，“浑水”使用一系列受损网站作为代理。被感染的端点随机连接到代理服务器之一，代理服务器又将信息传递给C2。“浑水”使用C2来发送指令并接受泄露的数据。

该规则的例外情况将绕过代理并直接与C2服务器通信的Koadic部分来呈现。“浑水”已经能够持续感染新的电脑，下图明确地显示了受害者的增长趋势，至少在中东地区，受害者仍然处于相对较低的位置。

有趣的是，大众的分析和意见对于大规模间谍行动影响并不大，“浑水”能够快速的适应每一次的新发现。至少到十一月十二日，“浑水”的运作模式才可以不受到干扰。

针对受害者人群，我们可以了解到该组织在一直关注哪些国家，而欧盟大部分感染者都是来自世界各地的游客。

在第一眼看上去，巴基斯坦是浑水所喜爱的目标国家，但我们的数据显示出不同的状况。通过分析每个受害者的行为，我们意识到浑水对很多区域兴趣浓厚。

巴基斯坦确实是感染率最高的国家，尽管“浑水”似乎对这些受害者相对不感兴趣。但另一方面，伊拉克遭受大量的感染，“浑水”对这些基础设施的攻击非常积极。沙特阿拉伯和阿拉伯联合酋长国（特别是迪拜）受害者人数少，但对这些国家的攻击却依然非常活跃。这使我们相信，浑水真正的目标是：伊拉克，沙特阿拉伯和阿联酋。

尽管受害者都属于不同的行业，但“浑水”对于政府，电信和石油公司（包括一个石油平台）更感兴趣。有一次，一个大型的伊拉克电信提供商被POWERSTATS入侵的端点受到10%的严重影响。攻击者还拥有一些体面的横向移动能力，他们依靠各种漏洞利用，LPE（完全工作到最新版本的Windows 10）和一些工具（一些公开可用的），一旦进入基础设施就可以访问感兴趣的端点。

尽管85%的受感染设备都是工作站，但其余的15%是由服务器制造的，这表明攻击者能够在初始违规之后升级以便可以直接访问他们感兴趣的数据。

同时“浑水”使用包含宏观的诱饵文档来部署最初的后门程序。以下是一些交付给受害者内容的例子：

我们可以观察到这些内容具有一些共同的特点，比如企图冒充国家实体;

这有四个文件模仿内容包括：

·伊拉克国家情报局

·国家安全局

·沙特阿拉伯内政部

·联邦调查局巴基斯坦内政部

每个文档在页面底部都会显示一个输入框和一个按钮。

除了诱饵内容之外，对初始文档的静态分析使我们能够确定一些共同的特征。所有文档利用宏观VBS机制来执行代码并部署下一个攻击阶段。

SAMPLE 1（样品一）

SHA256: 2c8d18f03b6624fa38cae0141b91932ba9dc1221ec5cf7f841a2f7e31685e6a1

SAMPLE 2（样品2）

SHA256: 40a6b4c6746e37d0c5ecb801e7656c9941f4839f94d8f4cd61eaf2b812feaabe

这两个文档都具有以下通用的元数据字段：

·LastModifiedBy: GIGABYTE

·AppVersion: 15.0

·Software: Microsoft Office Word

尤其是，除了一个文档的元数据外，其他所有文档的元数据都显示作者的键盘语言环境设置为ar_SA（阿拉伯语，沙特阿拉伯）。