APT 'MuddyWater'
APT 'MuddyWater' یک گروه جنایتکار است که به نظر می رسد در ایران مستقر است. APT مخفف عبارت Advanced Persistent Threat است، اصطلاحی که توسط محققان امنیتی رایانه شخصی برای اشاره به این نوع گروه های جنایتکار استفاده می شود. اسکرینشاتهای بدافزار مرتبط با APT «MuddyWater» نشان میدهد که محل آنها در ایران مستقر است و احتمالاً توسط دولتشان حمایت میشود. به نظر می رسد که فعالیت های اصلی APT 'MuddyWater' به سمت کشورهای دیگر در خاورمیانه باشد. حملات APT «MuddyWater» سفارتخانهها، دیپلماتها و مقامات دولتی را هدف قرار دادهاند و ممکن است بر ایجاد مزیت اجتماعی سیاسی برای آنها متمرکز باشد. حملات APT 'MuddyWater' در گذشته شرکت های مخابراتی را نیز هدف قرار داده است. APT 'MuddyWater' همچنین با حملات پرچم دروغین همراه بوده است. اینها حملاتی هستند که طوری طراحی شده اند که انگار بازیگر دیگری آنها را انجام داده است. حملات پرچم دروغین APT 'MuddyWater' در گذشته جعل هویت اسرائیل، چین، روسیه و سایر کشورها بوده است، اغلب در تلاش برای ایجاد ناآرامی یا درگیری بین قربانی و طرف جعل هویت.
تاکتیک های حمله مرتبط با گروه APT 'MuddyWater'
حملات مرتبط با APT «MuddyWater» شامل ایمیلهای فیشینگ نیزهای و سوءاستفاده از آسیبپذیریهای روز صفر برای به خطر انداختن قربانیان است. APT 'MuddyWater' حداقل به 30 آدرس IP مجزا متصل است. آنها همچنین داده های خود را از طریق بیش از چهار هزار سرور در معرض خطر هدایت می کنند، جایی که افزونه های خراب برای وردپرس به آنها اجازه نصب پراکسی را می دهد. تا به امروز، حداقل پنجاه سازمان و بیش از 1600 نفر قربانی حملات مرتبط با APT "MuddyWater" شده اند. جدیدترین حملات APT «MuddyWater» کاربران دستگاههای اندرویدی را هدف قرار میدهند و بدافزار را به قربانیان در تلاش برای نفوذ به دستگاههای تلفن همراهشان میرسانند. با توجه به سطح بالای اهداف این گروه تحت حمایت دولت، بعید است که اکثر کاربران رایانه شخصی خود را در معرض حمله APT «MuddyWater» قرار دهند. با این حال، اقداماتی که میتواند به محافظت از کاربران رایانه در برابر حملاتی مانند «MuddyWater» کمک کند، همان است که در مورد اکثر بدافزارها و گروههای مجرمانه اعمال میشود، از جمله استفاده از نرمافزار امنیتی قوی، نصب آخرین وصلههای امنیتی، و اجتناب از محتوای مشکوک آنلاین. و پیوست های ایمیل
حملات Android به APT 'MuddyWater' مرتبط است
یکی از جدیدترین ابزارهای حمله مورد استفاده توسط "MuddyWater" APT یک تهدید بدافزار اندرویدی است. محققان امنیتی رایانه شخصی سه نمونه از این بدافزار اندرویدی را گزارش کردهاند که به نظر میرسد دو نمونه از آنها نسخههای ناتمام هستند که در دسامبر 2017 ایجاد شدهاند. آخرین حمله مربوط به 'MuddyWater' APT با استفاده از یک وبسایت در معرض خطر در ترکیه حذف شد. قربانیان این حمله APT 'MuddyWater' در افغانستان بودند. مانند اکثر حملات جاسوسی APT 'MuddyWater'، هدف از این عفونت دسترسی به مخاطبین قربانی، تاریخچه تماس ها و پیام های متنی و همچنین دسترسی به اطلاعات GPS در دستگاه آلوده بود. سپس از این اطلاعات می توان برای آسیب رساندن به قربانی یا سود به طرق مختلف استفاده کرد. سایر ابزارهای مرتبط با حملات APT 'MuddyWater' عبارتند از تروجان های درب پشتی سفارشی. سه درب پشتی سفارشی متمایز به APT 'MuddyWater' مرتبط شده اند:
1. اولین تروجان backdoor سفارشی از یک سرویس ابری برای ذخیره تمام داده های مرتبط با حمله APT 'MuddyWater' استفاده می کند.
2. دومین تروجان backdoor سفارشی مبتنی بر دات نت است و PowerShell را به عنوان بخشی از کمپین خود اجرا می کند.
3. سومین درب پشتی سفارشی مرتبط با حمله APT 'MuddyWater' مبتنی بر دلفی است و برای جمع آوری اطلاعات سیستم قربانی طراحی شده است.
هنگامی که دستگاه قربانی در معرض خطر قرار گرفت، APT «MuddyWater» از بدافزارها و ابزارهای شناخته شده برای کنترل رایانه آلوده و جمعآوری دادههای مورد نیاز آنها استفاده میکند. جنایتکارانی که بخشی از حملات APT 'MuddyWater' هستند خطاناپذیر نیستند. مواردی از کدهای نامرغوب و داده های لو رفته وجود دارد که به آنها اجازه می دهد اطلاعات بیشتری در مورد هویت مهاجمان APT 'MuddyWater' تعیین کنند.