FireEye的研究人员从2018年1月到2018年3月发现了一项针对亚洲和中东地区的新型大规模网络钓鱼攻势。该活动背后的团体被称为TEMP.Zagros，又名MuddyWater，据专家介绍，它现在正在采用新的战术，技术和程序。

2017年，PaloAlto Networks的研究人员首次发现了TEMP.Zagros，黑客们利用鱼叉式钓鱼信息针对多个国家的各个行业。攻击者使用通常具有地缘政治主题的武器化文件，例如声称来自巴基斯坦国民议会或银行技术发展与研究所的文件。

根据FireEye的报告，TEMP.Zagros攻击者正在采用一种称为POWERSTATS的后门，用于后门，并重新使用已知技术进行横向移动。这些基于宏的文档中的每一个都使用了类似的代码执行技术，持久性以及与命令和控制（C2）服务器的通信。黑客重新使用AppLocker旁路和横向移动技术来实现间接代码执行。横向移动技术中的IP地址被本地机器IP地址替代以实现系统上的代码执行。

该活动于1月23日开始涉及一个基于宏的文档，该文档删除了VBS文件和包含Base64编码的PowerShell命令的INI文件。Base64编码的PowerShell命令将由PowerShell使用由WBS文件执行时使用WScript.exe生成的命令行进行解码和执行。攻击者对每个样本使用不同的VBS脚本，采用不同级别的模糊处理以及调用流程树下一阶段的不同方式。

从2018年2月27日开始，黑客使用了一个不使用VBS来执行PowerShell代码的宏的新变种。 新的变体使用一种新的代码执行技术，利用INF和SCT文件。FireEye的研究人员还在TEMP.Zagros使用的恶意代码中发现了中文字符串，这些字符串被留作虚假标志以使得归属变得更加困难。

FireEye 分析报告：https://www.fireeye.com/blog/threat-research/2018/03/iranian-threat-group-updates-ttps-in-spear-phishing-campaign.html

原文：http://securityaffairs.co/wordpress/70453/hacking/temp-zagros-phishing.html