"مادي ووتر" APT

إن APT "MuddyWater" هي جماعة إجرامية يبدو أنها تتخذ من إيران مقراً لها. APT تعني "التهديد المستمر المتقدم" ، وهو مصطلح يستخدمه باحثو أمن الكمبيوتر للإشارة إلى هذه الأنواع من الجماعات الإجرامية. لقطات من البرامج الضارة المرتبطة بـ "MuddyWater" APT تشير إلى أن موقعها موجود في إيران ، وربما يكون تحت رعاية حكومتهم. يبدو أن الأنشطة الرئيسية لـ "MuddyWater" APT موجهة نحو دول أخرى في الشرق الأوسط. استهدفت هجمات APT "MuddyWater" السفارات والدبلوماسيين والمسؤولين الحكوميين وقد تركز على تزويدهم بميزة اجتماعية وسياسية. كما استهدفت هجمات APT "MuddyWater" في الماضي شركات الاتصالات. كما تم ربط "MuddyWater" APT بهجمات العلم الكاذب. صُممت هذه الهجمات لتبدو وكأن جهة فاعلة مختلفة قد نفذتها. لقد انتحلت هجمات العلم الكاذب لـ "MuddyWater" APT في الماضي هوية إسرائيل والصين وروسيا ودول أخرى ، غالبًا في محاولة لإحداث اضطرابات أو صراع بين الضحية والطرف الذي ينتحل شخصية.

تكتيكات الهجوم المرتبطة بمجموعة APT "MuddyWater"

تشمل الهجمات المرتبطة بـ "MuddyWater" APT رسائل التصيد الإلكتروني بالرمح واستغلال نقاط ضعف يوم الصفر لتعريض ضحاياهم للخطر. ترتبط APT "MuddyWater" بما لا يقل عن 30 عنوان IP مميزًا. سيقومون أيضًا بتوجيه بياناتهم عبر أكثر من أربعة آلاف خادم مخترق ، حيث سمحت لهم المكونات الإضافية التالفة لـ WordPress بتثبيت وكلاء. حتى الآن ، كان ما لا يقل عن خمسين منظمة وأكثر من 1600 فرد ضحايا لهجمات مرتبطة بـ "MuddyWater" APT. تستهدف هجمات APT الأكثر شيوعًا "MuddyWater" مستخدمي أجهزة Android ، حيث تقدم برامج ضارة للضحايا في محاولة للتسلل إلى أجهزتهم المحمولة. نظرًا لارتفاع مستوى أهداف هذه المجموعة التي ترعاها الدولة ، فمن غير المرجح أن يجد معظم مستخدمي الكمبيوتر الأفراد أنفسهم معرضين للخطر من خلال هجوم "MuddyWater" APT. ومع ذلك ، فإن الإجراءات التي يمكن أن تساعد في الحفاظ على مستخدمي الكمبيوتر في مأمن من هجمات مثل "MuddyWater" APT هي نفسها التي تنطبق على معظم البرامج الضارة والمجموعات الإجرامية ، بما في ذلك استخدام برامج أمان قوية ، وتثبيت أحدث تصحيحات الأمان ، وتجنب المحتوى المشكوك فيه عبر الإنترنت ومرفقات البريد الإلكتروني.

هجمات Android مرتبطة بنقطة وصول "MuddyWater"

أحد أحدث أدوات الهجوم التي تستخدمها "MuddyWater" APT هو تهديد البرامج الضارة لنظام Android. أبلغ باحثو أمن أجهزة الكمبيوتر عن ثلاث عينات من هذا البرنامج الضار الذي يعمل بنظام Android ، ويبدو أن اثنتين منها عبارة عن إصدارات غير مكتملة تم إنشاؤها في ديسمبر من عام 2017. وقد تم إسقاط أحدث هجوم شمل "MuddyWater" APT باستخدام موقع ويب مخترق في تركيا. تم العثور على ضحايا هجوم "MuddyWater" APT في أفغانستان. مثل معظم هجمات التجسس لـ "MuddyWater" APT ، كان الغرض من هذه العدوى هو الوصول إلى جهات اتصال الضحية وسجل المكالمات والرسائل النصية ، وكذلك الوصول إلى معلومات GPS على الجهاز المصاب. يمكن بعد ذلك استخدام هذه المعلومات لإيذاء الضحية أو الربح بطرق متنوعة. تتضمن الأدوات الأخرى المرتبطة بهجمات APT "MuddyWater" أحصنة طروادة الخلفية المخصصة. تم ربط ثلاثة أبواب خلفية مخصصة مميزة بـ "MuddyWater" APT:

1. يستخدم أول حصان طروادة الخلفي المخصص خدمة سحابية لتخزين جميع البيانات المرتبطة بهجوم APT "MuddyWater".
2. يستند حصان طروادة الخلفي المخصص الثاني على .NET ويدير PowerShell كجزء من حملته.
3. الباب الخلفي المخصص الثالث المرتبط بهجوم "MuddyWater" APT يعتمد على Delphi وهو مصمم لجمع معلومات نظام الضحية.

بمجرد اختراق جهاز الضحية ، ستستخدم APT 'MuddyWater' برامج وأدوات ضارة معروفة للسيطرة على الكمبيوتر المصاب وجمع البيانات التي يحتاجون إليها. إن المجرمين الذين يشكلون جزءًا من هجمات APT "MuddyWater" ليسوا معصومين من الخطأ. هناك حالات من التعليمات البرمجية القذرة والبيانات المسربة التي سمحت لهم بتحديد المزيد حول هوية مهاجمي APT "MuddyWater".