'MuddyWater' APT
'MuddyWater' APT er en kriminel gruppe, der ser ud til at være baseret i Iran. APT står for "Advanced Persistent Threat", et udtryk, der bruges af pc-sikkerhedsforskere til at henvise til den slags kriminelle grupper. Skærmbilleder fra malware knyttet til 'MuddyWater' APT peger på, at deres placering er baseret i Iran og muligvis er sponsoreret af deres regering. 'MuddyWater' APT's hovedaktiviteter ser ud til at pege mod andre lande i Mellemøsten. 'MuddyWater' APT-angrebene har rettet sig mod ambassader, diplomater og embedsmænd og kan være fokuseret på at give dem en sociopolitisk fordel. 'MuddyWater' APT-angrebene i fortiden har også været rettet mod teleselskaber. 'MuddyWater' APT er også blevet forbundet med falsk flag-angreb. Det er angreb, der er designet til at se ud, som om en anden aktør har udført dem. 'MuddyWater' APT's falske flag-angreb i fortiden har efterlignet Israel, Kina, Rusland og andre lande, ofte i et forsøg på at skabe uroligheder eller konflikter mellem offeret og den efterlignede part.
Angrebstaktik forbundet med 'MuddyWater' APT-gruppen
Angrebene i forbindelse med 'MuddyWater' APT inkluderer spear phishing-e-mails og udnyttelse af zero day-sårbarheder til at kompromittere deres ofre. 'MuddyWater' APT er forbundet med mindst 30 forskellige IP-adresser. De vil også rute deres data gennem mere end fire tusinde kompromitterede servere, hvor korrupte plugins til WordPress har givet dem mulighed for at installere proxyer. Til dato har mindst halvtreds organisationer og mere end 1600 personer været ofre for angreb forbundet med 'MuddyWater' APT. De seneste 'MuddyWater' APT-angreb er rettet mod brugere af Android-enheder og leverer malware til ofre i et forsøg på at infiltrere deres mobile enheder. På grund af den høje profil af målene for denne statssponsorerede gruppe, er det usandsynligt, at de fleste individuelle computerbrugere vil finde sig selv kompromitteret af et 'MuddyWater' APT-angreb. Imidlertid er de foranstaltninger, der kan hjælpe med at holde computerbrugere sikre mod angreb som 'MuddyWater' APT'erne, de samme, som gælder for de fleste malware og kriminelle grupper, herunder brugen af stærk sikkerhedssoftware, installation af de nyeste sikkerhedsrettelser og undgåelse af tvivlsomt onlineindhold og vedhæftede e-mails.
Android-angreb knyttet til 'MuddyWater' APT
Et af de seneste angrebsværktøjer, der bruges af 'MuddyWater' APT, er en Android-malwaretrussel. Pc-sikkerhedsforskere har rapporteret tre prøver af denne Android-malware, hvoraf to ser ud til at være ufuldendte versioner, der blev oprettet i december 2017. Det seneste angreb, der involverede 'MuddyWater' APT, blev droppet ved hjælp af et kompromitteret websted i Tyrkiet. Ofrene for dette 'MuddyWater' APT-angreb var lokaliseret i Afghanistan. Som de fleste 'MuddyWater' APT-spionageangreb var formålet med denne infektion at få adgang til ofrets kontakter, opkaldshistorik og tekstbeskeder, samt at få adgang til GPS-information på den inficerede enhed. Disse oplysninger kan derefter bruges til at skade offeret eller profit på en lang række forskellige måder. Andre værktøjer, der er forbundet med 'MuddyWater' APT-angrebene, inkluderer tilpassede bagdørstrojanske heste. Tre forskellige brugerdefinerede bagdøre er blevet knyttet til 'MuddyWater' APT:
1. Den første tilpassede bagdørstrojaner bruger en cloud-tjeneste til at gemme alle data, der er forbundet med 'MuddyWater' APT-angrebet.
2. Den anden tilpassede bagdørstrojaner er baseret på .NET og kører PowerShell som en del af sin kampagne.
3. Den tredje brugerdefinerede bagdør forbundet med 'MuddyWater' APT-angrebet er baseret på Delphi og er designet til at indsamle offerets systemoplysninger.
Når ofrets enhed er blevet kompromitteret, vil 'MuddyWater' APT bruge kendt malware og værktøjer til at overtage den inficerede computer og indsamle de data, de har brug for. De kriminelle, der er en del af 'MuddyWater' APT-angrebene, er ikke ufejlbarlige. Der er tilfælde af sjusket kode og lækkede data, der har givet dem mulighed for at fastslå mere om identiteten af 'MuddyWater' APT-angriberne.
