近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，MuddyWater组织近期针对政府、军事、电信、能源等机构实施网络攻击，窃取系统凭证、机密文件等敏感数据。

　　攻击者通过鱼叉邮件投递双重伪装载荷，一类是伪装成PDF文档的可执行文件（如“xxx.pdf.exe”），另一类则在DOC文档中嵌入恶意宏代码。一旦受害者误启PDF文档，伪装文档将立即释放UDPGangster后门（MuddyWater组织的UDP后门，支持远程控制、窃密等）到本地。对于嵌入恶意宏代码的DOC文档，一旦打开，宏代码将会被静默执行并从自身解密释放后续载荷，将其保存为txt文件后重命名为装载UDPGangster的novaservice.exe可执行文件。攻击载荷成功在内存部署后门后，UDPGangster会将自身复制为SystemProc.exe，并通过写入注册表HKCU...UserShellFoldersStartup实现自动启动。同时，MuddyWater组织采用动态C2连接策略，优先读取本地配置文件，失败则回退至硬编码C2地址。后门程序会收集主机名、工作组、系统版本及用户名等数据，加密回传至服务端，最终建立对目标主机的远程控制。

　　建议相关单位及用户立即禁用Office宏执行策略，阻断恶意文档释放攻击载荷；部署邮件网关动态沙箱，深度检测伪装PDF的可执行文件及带宏文档；实时监控注册表路径HKCUSoftware...UserShellFoldersStartup异常写入，清除SystemProc.exe后门持久化项。

　　相关IOC信息

　　MD5：

　　07502104c6884e6151f6e0a53966e199

　　409d02d6153af220e527fd72256ee3a5

　　561b2983d558283c446ff674ff6138c3

　　7bfbc76c7eeb652d73b85c99ee83b339

　　9e06b36f4da737b8d699a6846c2540e9

　　a39f74247367e0891f18b7662c8e69b5

　　a546d2363a4b94e361d0874b690c853b