伊朗黑客組織MuddyWater APT新增攻擊方法，政府、軍方、電信和學術界都易受到影響。

據外媒報道，伊朗黑客組織MuddyWater APT在他們的黑客武器庫中添加了新攻擊手段。這個APT組織最初于2017年被發現，主要目標為中東和亞洲地區。伊朗情報和安全部將黑客小組分成了兩個小組。第一個小組專門攻擊目標系統，另一個小組使用魚叉式網絡釣魚進行社會工程操作。

最近，Clear Sky的研究人員觀察到組織的影響范圍廣泛，其中包括政府、軍方、電信和學術界。研究人員發現，惡意文檔包含嵌入式宏，一旦受害者打開文件，就會下載有效負載，最終利用遠程代碼執行漏洞CVE-2017-0199，允許攻擊者使用Windows OLE（對象連接與嵌入）中存在的漏洞。

根據最近的活動，黑客進行了魚叉式網絡釣魚攻擊，郵件中的惡意文件偽裝成聯合國在塔吉克斯坦的一項發展計劃的官方文件。

一旦受害者打開該文件，將創建新的VBS文件，該文件使用多個VBE、JavaScript和Base64進行編碼。此惡意軟件從IP地址185.244.149[.]218進行第二階段的下載，然后與幾個惡意文件進行通信，并將其中一個文件放入用戶設備。

當用戶點擊文件后，會出現一個錯誤消息，然后出現另一個錯誤消息讓受害者恢復文件內容。同時，惡意軟件識別漏洞CVE-2017-0199，該漏洞允許遠程攻擊者通過文檔執行任意代碼。在受害者確認第二個錯誤消息之后，該漏洞將被激活，Word軟件將與C2服務器通信。

研究人員還在命令與控制服務器通信過程中發現了一個RAT文件，并使用PowerShell腳本提取了RAT文件。這是一個初始腳本，它要求受損的計算機向攻擊者報告系統上運行的進程。然后，它向C2服務器發送數十個通信請求，以便接收共享被盜數據的命令。