'MuddyWater' APT
'MuddyWater' APT je zločinecká skupina, která, jak se zdá, sídlí v Íránu. APT je zkratka pro „Advanced Persistent Threat“, což je termín používaný výzkumníky v oblasti PC bezpečnosti k označení těchto druhů zločineckých skupin. Screenshoty z malwaru spojeného s 'MuddyWater' APT ukazují, že jejich umístění sídlí v Íránu a může být sponzorováno jejich vládou. Zdá se, že hlavní aktivity APT „MuddyWater“ jsou zaměřeny na jiné země na Středním východě. Útoky APT „MuddyWater“ se zaměřovaly na velvyslanectví, diplomaty a vládní úředníky a mohou být zaměřeny na to, aby jim poskytly sociálně-politickou výhodu. Útoky APT „MuddyWater“ se v minulosti zaměřovaly také na telekomunikační společnosti. 'MuddyWater' APT byl také spojován s útoky pod falešnou vlajkou. Jedná se o útoky, které jsou navrženy tak, aby vypadaly, jako by je provedl jiný aktér. Útoky pod falešnou vlajkou „MuddyWater“ APT v minulosti vydávaly za Izrael, Čínu, Rusko a další země, často ve snaze vyvolat nepokoje nebo konflikty mezi obětí a stranou, za kterou se vydávali.
Útočná taktika spojená se skupinou 'MuddyWater' APT
Útoky spojené s 'MuddyWater' APT zahrnují spear phishingové e-maily a zneužívání zranitelností zero day ke kompromitaci jejich obětí. 'MuddyWater' APT je propojeno alespoň s 30 odlišnými IP adresami. Budou také směrovat svá data přes více než čtyři tisíce kompromitovaných serverů, kde jim poškozené pluginy pro WordPress umožnily instalovat proxy. K dnešnímu dni se nejméně padesát organizací a více než 1600 jednotlivců stalo obětí útoků spojených s 'MuddyWater' APT. Nejnovější útoky APT „MuddyWater“ se zaměřují na uživatele zařízení Android a doručují malware obětem ve snaze infiltrovat jejich mobilní zařízení. Vzhledem k vysokému profilu cílů této státem sponzorované skupiny je nepravděpodobné, že by se většina jednotlivých uživatelů počítačů ocitla kompromitována útokem APT „MuddyWater“. Nicméně opatření, která mohou pomoci ochránit uživatele počítačů před útoky, jako jsou APT „MuddyWater“, jsou stejná, která platí pro většinu malwarových a zločineckých skupin, včetně použití silného bezpečnostního softwaru, instalace nejnovějších bezpečnostních záplat a vyhýbání se pochybnému online obsahu. a e-mailové přílohy.
Android Attacks Propojeno s 'MuddyWater' APT
Jedním z nejnovějších útočných nástrojů používaných APT „MuddyWater“ je hrozba malwaru pro Android. Výzkumníci zabezpečení počítačů nahlásili tři vzorky tohoto malwaru pro Android, z nichž dva se zdají být nedokončené verze, které byly vytvořeny v prosinci 2017. Nejnovější útok zahrnující 'MuddyWater' APT byl zrušen pomocí kompromitované webové stránky v Turecku. Oběti tohoto útoku 'MuddyWater' APT se nacházely v Afghánistánu. Stejně jako většina špionážních útoků APT „MuddyWater“ bylo účelem této infekce získat přístup ke kontaktům oběti, historii hovorů a textovým zprávám a také získat přístup k informacím GPS na infikovaném zařízení. Tyto informace pak mohou být použity k poškození oběti nebo zisku mnoha různými způsoby. Mezi další nástroje spojené s útoky APT „MuddyWater“ patří vlastní trojské koně typu backdoor. K 'MuddyWater' APT byly propojeny tři různé vlastní zadní vrátka:
1. První vlastní trojský kůň zadních vrátek používá cloudovou službu pro ukládání všech dat spojených s útokem APT „MuddyWater“.
2. Druhý custom backdoor trojan je založen na .NET a jako součást své kampaně spouští PowerShell.
3. Třetí uživatelská zadní vrátka spojená s útokem APT „MuddyWater“ je založena na Delphi a je navržena tak, aby shromažďovala systémové informace oběti.
Jakmile bylo napadeno zařízení oběti, 'MuddyWater' APT použije známý malware a nástroje k převzetí infikovaného počítače a sbírá data, která potřebují. Zločinci, kteří jsou součástí útoků 'MuddyWater' APT, nejsou neomylní. Existují případy nedbalého kódu a uniklých dat, které jim umožnily zjistit více o identitě útočníků 'MuddyWater' APT.
