近日，騰訊御見威脅情報中心監控到MuddyWater(污水) APT組織再度利用宏文檔進行載荷投遞，通過搜索引擎查詢發現，該組織利用的宏文檔中嵌有“mersin emniyet müdürlüğü”關鍵字的圖標文件，初步推斷是針對土耳其相關部門發起的一次定向攻擊。目前，該類攻擊并未在我國發現。

　　據了解，MuddyWater(污水) APT組織以從事網絡間諜活動為目的，主要攻擊目標集中在政府、金融、能源、電信等相關部門，受害者主要分布在土耳其、巴基斯坦、沙特阿拉伯、阿聯酋、伊拉克等中東地區國家。自2017年11月被曝光以來，該組織擅長利用powershell等腳本后門，通過powershell在內存中執行，減少新的PE文件在受害者機器落地，行動極為隱蔽，安全軟件難以捕捉。這種方式使得該組織的樣本有著較低的檢測率，同時也加大了安全機構的取證難度。

　　(圖：MuddyWater(污水)APT組織攻擊流程)

　　今年3月，該組織便開始活躍，并針對土耳其相關部門發起定向攻擊，此次再度來襲依然延續了手握大量攻陷網站的特點，目的是進行誘餌的投遞及勝利果實的回收。不過技術方面得到了進一步優化，全程使用經過多次高度混淆的powershell腳本，關鍵的木馬功能以云控的方式進行下發，以便掩蓋其攻擊目的。另外腳本一旦運行后，會設置開機自啟動、解密c2(指后門、木馬控制服務器)、創建任務計劃、獲取計算機信息等，然后不斷地訪問c2，等待和執行新指令。

　　據騰訊電腦管家安全專家、騰訊安全反病毒實驗室負責人馬勁松介紹，該組織攻擊使用的宏文檔中背景故意做得比較模糊，但是圖標及啟用宏的提示文字卻異常鮮艷，這是一種典型的社會工程學式的攻擊方式，目的是讓受害者在好奇心的驅使下點擊“啟動內容”按鈕，從而讓藏在文檔中的木馬運行起來。對此，他提醒廣大用戶，切勿隨意打開來歷不明的文檔，可利用騰訊電腦管家哈勃分析系統進行安全檢測。同時，政府及企業用戶可通過騰訊安全“御界防APT郵件網關”，解決惡意郵件的攻擊威脅。

　　(圖：騰訊御界高級威脅檢測系統)

　　目前，騰訊御界高級威脅檢測系統已經可以檢測并阻斷該輪攻擊的連接行為。御界高級威脅檢測系統，是基于騰訊反病毒實驗室的安全能力、依托騰訊在云和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統。

　　憑借基于行為的防護和智能模型兩大核心能力，御界高級威脅檢測系統可高效檢測未知威脅，并通過對企業內外網邊界處網絡流量的分析，感知漏洞的利用和攻擊。通過部署御界高級威脅檢測系統，及時感知惡意流量，檢測釣魚網址和遠控服務器地址在企業網絡中的訪問情況，保護企業網絡安全。