'MuddyWater' APT
L'APT 'MuddyWater' és un grup criminal que sembla estar basat a l'Iran. APT significa "Advanced Persistent Threat", un terme utilitzat pels investigadors de seguretat de PC per referir-se a aquest tipus de grups criminals. Les captures de pantalla de programari maliciós enllaçat a l'APT "MuddyWater" indiquen que la seva ubicació està basada a l'Iran i possiblement està patrocinada pel seu govern. Les principals activitats de l'APT 'MuddyWater' semblen orientades cap a altres països de l'Orient Mitjà. Els atacs de l'APT "MuddyWater" han tingut com a objectiu les ambaixades, els diplomàtics i els funcionaris del govern i poden estar centrats a oferir-los un avantatge sociopolític. Els atacs de l'APT 'MuddyWater' en el passat també han tingut com a objectiu les empreses de telecomunicacions. L'APT 'MuddyWater' també s'ha associat amb atacs de bandera falsa. Es tracta d'atacs dissenyats per semblar que un actor diferent els hagués dut a terme. Els atacs de bandera falsa de l'APT "MuddyWater" en el passat han suplantat Israel, la Xina, Rússia i altres països, sovint en un intent de provocar disturbis o conflictes entre la víctima i la part suplantada.
Tàctiques d'atac associades al grup APT "MuddyWater".
Els atacs associats a l'APT "MuddyWater" inclouen correus electrònics de pesca de lanza i l'explotació de vulnerabilitats de dia zero per comprometre les seves víctimes. L'APT 'MuddyWater' està enllaçat com a mínim a 30 adreces IP diferents. També encaminaran les seves dades a través de més de quatre mil servidors compromesos, on els connectors danyats per a WordPress els han permès instal·lar servidors intermediaris. Fins ara, almenys cinquanta organitzacions i més de 1600 persones han estat víctimes d'atacs vinculats a l'APT 'MuddyWater'. Els atacs APT "MuddyWater" més recents estan dirigits als usuaris de dispositius Android, lliurant programari maliciós a les víctimes en un intent d'infiltrar-se als seus dispositius mòbils. A causa de l'alt perfil dels objectius d'aquest grup patrocinat per l'estat, és poc probable que la majoria d'usuaris d'ordinadors individuals es vegin compromesos per un atac APT 'MuddyWater'. No obstant això, les mesures que poden ajudar a protegir els usuaris d'ordinadors d'atacs com els APT 'MuddyWater' són les mateixes que s'apliquen a la majoria de programari maliciós i grups criminals, inclòs l'ús de programari de seguretat fort, la instal·lació dels darrers pedaços de seguretat i evitar contingut en línia qüestionable. i fitxers adjunts de correu electrònic.
Atacs d'Android vinculats a l'APT 'MuddyWater'
Una de les últimes eines d'atac utilitzades per l'APT 'MuddyWater' és una amenaça de programari maliciós per a Android. Els investigadors de seguretat d'ordinadors han informat de tres mostres d'aquest programari maliciós d'Android, dues de les quals semblen ser versions sense completar que es van crear el desembre de 2017. L'atac més recent amb l'APT "MuddyWater" es va eliminar mitjançant un lloc web compromès a Turquia. Les víctimes d'aquest atac de l'APT 'MuddyWater' es van localitzar a l'Afganistan. Com la majoria dels atacs d'espionatge APT 'MuddyWater', l'objectiu d'aquesta infecció era accedir als contactes de la víctima, a l'historial de trucades i als missatges de text, així com accedir a la informació del GPS del dispositiu infectat. Aleshores, aquesta informació es pot utilitzar per fer mal a la víctima o treure'n profit d'una gran varietat de maneres. Altres eines associades amb els atacs de l'APT "MuddyWater" inclouen troians personalitzats de porta posterior. S'han vinculat tres portes posteriors personalitzades diferents a l'APT "MuddyWater":
1. El primer troià de porta posterior personalitzada utilitza un servei al núvol per emmagatzemar totes les dades associades a l'atac APT 'MuddyWater'.
2. El segon troià personalitzat de la porta posterior es basa en .NET i executa PowerShell com a part de la seva campanya.
3. La tercera porta posterior personalitzada associada a l'atac APT 'MuddyWater' es basa en Delphi i està dissenyada per recollir la informació del sistema de la víctima.
Un cop compromès el dispositiu de la víctima, l'APT 'MuddyWater' utilitzarà eines i programari maliciós coneguts per fer-se càrrec de l'ordinador infectat i recopilar les dades que necessiten. Els delinqüents que formen part dels atacs de l'APT 'MuddyWater' no són infal·libles. Hi ha casos de codi descuidat i dades filtrades que els han permès determinar més sobre la identitat dels atacants de l'APT "MuddyWater".
