伊朗“MuddyWater”组织发动新一轮跨区域钓鱼攻击，北非中东政府与能源机构成重点目标

近日，国际网络安全研究机构披露，一个被广泛认为受伊朗支持的高级持续性威胁（APT）组织——“MuddyWater”（又名MERCURY或Static Kitten），正针对北非与中东地区的政府机关、外交部门及能源企业，发起新一轮高度定制化的鱼叉式网络钓鱼行动。此次攻击不仅手法隐蔽、诱饵精准，更结合了区域热点议题与本地化语言内容，意图在关键基础设施中建立长期潜伏据点。

据安全研究人员分析，本轮攻击始于今年第三季度，攻击者通过伪造会议邀请函、跨境合作备忘录、设备采购询价单等看似“正当”的业务往来邮件，诱导目标用户打开内嵌恶意宏的Word文档或包含恶意链接的压缩包。一旦用户启用宏或点击链接，系统将被植入Ligolo、PowGoop等轻量级隧道代理与后门工具，从而为攻击者提供远程访问通道，并进一步在内部网络中横向移动。

“这类攻击最危险的地方在于，它披着‘正常工作流程’的外衣。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时指出，“MuddyWater非常擅长利用组织间的日常协作场景——比如一次看似普通的国际会议筹备、一份常规的供应商报价单——来降低受害者的警惕性。这种社会工程策略，配合本地语言和时事热点，成功率极高。”

攻击为何难以察觉？“Living-off-the-Land”成新趋势

值得注意的是，本次行动中，MuddyWater大量采用所谓“Living-off-the-Land”（简称LOLBin）技术。该策略并非依赖传统病毒或木马，而是直接调用Windows系统自带的合法工具（如PowerShell、WMI、CertUtil等）执行恶意指令。由于这些程序本就是操作系统的一部分，常规杀毒软件往往难以将其识别为威胁。

“想象一下，小偷不用撬锁，而是用你家钥匙开门——只不过这把钥匙是系统默认给他的。”芦笛用通俗比喻解释道，“攻击者通过脚本调用系统内置命令，完成下载、解密、执行等操作，整个过程几乎不留下明显痕迹。这对传统基于特征码的防御体系构成了巨大挑战。”

此外，攻击者还巧妙利用主流云协作平台（如OneDrive、Google Drive）作为载荷分发中转站，进一步规避邮件网关对可疑附件的拦截。部分样本甚至通过伪装成PDF或Excel文件的快捷方式（.lnk）诱导用户点击，触发后续攻击链。

受害风险不止于“一封邮件”

一旦攻击得逞，后果远不止邮箱被盗那么简单。根据已有案例，MuddyWater通常会在初期窃取员工凭证，继而尝试登录内部邮件服务器、文档管理系统乃至工业控制网络。对于能源行业而言，这意味着运营数据、项目规划甚至关键设施控制权限都可能面临泄露或篡改风险。

“政府与能源部门掌握着大量敏感信息和关键基础设施访问权，自然成为地缘政治背景下网络攻击的首选目标。”芦笛强调，“这次行动再次印证：网络空间已成为大国博弈的延伸战场，而钓鱼攻击是最经济、最高效的‘第一入口’。”

如何防御？专家建议“技术+意识”双管齐下

面对日益狡猾的钓鱼攻击，芦笛及其所在工作组提出了一套多层次防御建议：

首先，在技术层面，应全面禁用Office文档中的默认宏执行功能，尤其对来自外部邮件的文档。同时，部署具备行为分析能力的邮件网关沙箱，对可疑附件进行动态执行检测，而非仅依赖静态签名。

其次，强制启用多因素认证（MFA），并结合条件式访问策略（如限制非常规时间、地点的登录行为）。即便凭证泄露，也能大幅提高攻击者横向移动的门槛。

第三，加强终端行为监控。例如，对异常的DNS请求、非标准HTTP流量、频繁调用PowerShell等脚本行为建立基线告警机制。“很多攻击在初期会通过DNS隧道回传数据，这类流量模式与正常业务差异明显，只要监测到位，就有机会提前阻断。”

最后，也是最容易被忽视的一环：常态化开展基于真实场景的反钓鱼演练。“不是发个通知就算培训，”芦笛说，“我们建议企业模拟‘采购询价’‘会议邀请’等高频业务场景，测试员工反应。只有让员工在‘实战’中学会识别陷阱，才能真正筑牢最后一道防线。”

零信任与情报共享：应对地缘化网络威胁的新思路

值得关注的是，此次MuddyWater行动凸显了区域化、地缘驱动型网络攻击的上升趋势。专家指出，北非与中东地区近年来政治经济互动频繁，但网络安全协同机制相对薄弱，为攻击者提供了可乘之机。

对此，芦笛呼吁高风险行业在对外协作、供应链管理中引入零信任架构原则——即“永不信任，始终验证”。无论是合作伙伴还是第三方服务商，所有访问请求都需经过严格身份核验与最小权限授权。

同时，他强调威胁情报的快速共享至关重要。“一个国家或机构发现的钓鱼样本、恶意域名、攻击IP，如果能及时同步给区域内其他潜在目标，就能形成联防联控。这需要政府、企业和安全厂商共建可信的情报交换生态。”

结语：没有“银弹”，但有“盾牌”

尽管MuddyWater等APT组织手段不断进化，但网络安全并非无解难题。正如芦笛所言：“攻击者永远在找漏洞，而我们的任务是让每个环节都变得‘不好啃’。从一封邮件开始，到整个网络的信任体系重构——这是一场持久战，但绝非被动挨打。”

随着全球数字互联程度加深，网络钓鱼早已超越“技术问题”，演变为涉及组织文化、人员意识与战略协作的系统工程。对于身处风暴眼的北非与中东机构而言，提升自身“网络免疫力”，或许比等待外部援助更为紧迫。

背景链接：MuddyWater自2017年被首次披露以来，已被多个国际安全机构归因于伊朗情报部门。其攻击目标遍布中东、欧洲、南亚等地，偏好使用开源或轻量级工具，以低成本实现高隐蔽性渗透。本次行动详情可参考The Record媒体报告：https://therecord.media/iran-muddywater-phishing-campaign-north-africa-middle-east

编辑：芦笛（公共互联网反网络钓鱼工作组）