'MuddyWater' APT
'MuddyWater' APT е престъпна група, която изглежда е базирана в Иран. APT означава „Advanced Persistent Threat“, термин, използван от изследователите по сигурността на компютъра за обозначаване на тези видове престъпни групи. Екранните снимки от злонамерен софтуер, свързан с APT „MuddyWater“, сочат, че местоположението им е базирано в Иран и вероятно е спонсорирано от тяхното правителство. Основните дейности на 'MuddyWater' APT изглежда са насочени към други страни в Близкия изток. Атаките на APT „MuddyWater“ са насочени към посолства, дипломати и правителствени служители и може да са насочени към предоставяне на социално-политическо предимство. Атаките на APT „MuddyWater“ в миналото също са били насочени към телекомуникационни компании. 'MuddyWater' APT също се свързва с фалшиви атаки. Това са атаки, които са предназначени да изглеждат така, сякаш друг актьор ги е извършил. Атаките с фалшиво знаме на APT „MuddyWater“ в миналото са се представяли за Израел, Китай, Русия и други страни, често в опит да предизвикат вълнения или конфликт между жертвата и представяната страна.
Тактики за атака, свързани с групата APT „MuddyWater“.
Атаките, свързани с 'MuddyWater' APT, включват фишинг имейли и използване на уязвимости от нулев ден за компрометиране на техните жертви. APT 'MuddyWater' е свързан с поне 30 различни IP адреса. Те също така ще насочват данните си през повече от четири хиляди компрометирани сървъра, където повредените плъгини за WordPress им позволяват да инсталират прокси сървъри. Към днешна дата най-малко петдесет организации и повече от 1600 лица са били жертви на атаки, свързани с 'MuddyWater' APT. Най-новите атаки на APT „MuddyWater“ са насочени към потребителите на устройства с Android, доставяйки зловреден софтуер на жертвите в опит да проникнат в техните мобилни устройства. Поради високия профил на мишените на тази спонсорирана от държавата група, малко вероятно е повечето индивидуални компютърни потребители да се окажат компрометирани от 'MuddyWater' APT атака. Въпреки това, мерките, които могат да помогнат за предпазването на компютърните потребители от атаки като 'MuddyWater' APT са същите, които се прилагат за повечето злонамерен софтуер и престъпни групи, включително използването на силен софтуер за сигурност, инсталиране на най-новите корекции за сигурност и избягване на съмнително онлайн съдържание и прикачени файлове към имейл.
Android атаки, свързани с 'MuddyWater' APT
Един от най-новите инструменти за атака, използвани от 'MuddyWater' APT, е заплаха за злонамерен софтуер за Android. Изследователите по сигурността на компютъра съобщиха за три проби от този злонамерен софтуер за Android, две от които изглежда са незавършени версии, създадени през декември 2017 г. Последната атака, включваща 'MuddyWater' APT, беше прекратена чрез компрометиран уебсайт в Турция. Жертвите на тази атака на APT „MuddyWater“ са разположени в Афганистан. Подобно на повечето шпионски атаки на 'MuddyWater' APT, целта на тази инфекция беше да получи достъп до контактите на жертвата, историята на обажданията и текстовите съобщения, както и да получи достъп до GPS информация на заразеното устройство. След това тази информация може да се използва за нараняване на жертвата или печалба по различни начини. Други инструменти, свързани с атаките на APT „MuddyWater“, включват персонализирани бекдор троянски коне. Три различни персонализирани задни врати са свързани с APT „MuddyWater“:
1. Първият персонализиран бекдор троянец използва облачна услуга за съхраняване на всички данни, свързани с APT атаката 'MuddyWater'.
2. Вторият персонализиран бекдор троянски кон е базиран на .NET и изпълнява PowerShell като част от кампанията си.
3. Третият персонализиран бекдор, свързан с 'MuddyWater' APT атаката е базиран на Delphi и е предназначен да събира системна информация на жертвата.
След като устройството на жертвата е компрометирано, 'MuddyWater' APT ще използва известен зловреден софтуер и инструменти, за да превземе заразения компютър и да събере необходимите им данни. Престъпниците, които са част от атаките на 'MuddyWater' APT, не са безпогрешни. Има случаи на небрежен код и изтекли данни, които им позволяват да определят повече за самоличността на 'MuddyWater' APT нападателите.
