APT 'MuddyWater'

APT 'MuddyWater' یک گروه جنایتکار است که به نظر می رسد در ایران مستقر است. APT مخفف عبارت Advanced Persistent Threat است، اصطلاحی که توسط محققان امنیتی رایانه شخصی برای اشاره به این نوع گروه های جنایتکار استفاده می شود. اسکرین‌شات‌های بدافزار مرتبط با APT «MuddyWater» نشان می‌دهد که محل آن‌ها در ایران مستقر است و احتمالاً توسط دولتشان حمایت می‌شود. به نظر می رسد که فعالیت های اصلی APT 'MuddyWater' به سمت کشورهای دیگر در خاورمیانه باشد. حملات APT «MuddyWater» سفارت‌خانه‌ها، دیپلمات‌ها و مقامات دولتی را هدف قرار داده‌اند و ممکن است بر ایجاد مزیت اجتماعی سیاسی برای آنها متمرکز باشد. حملات APT 'MuddyWater' در گذشته شرکت های مخابراتی را نیز هدف قرار داده است. APT 'MuddyWater' همچنین با حملات پرچم دروغین همراه بوده است. اینها حملاتی هستند که طوری طراحی شده اند که انگار بازیگر دیگری آنها را انجام داده است. حملات پرچم دروغین APT 'MuddyWater' در گذشته جعل هویت اسرائیل، چین، روسیه و سایر کشورها بوده است، اغلب در تلاش برای ایجاد ناآرامی یا درگیری بین قربانی و طرف جعل هویت.

تاکتیک های حمله مرتبط با گروه APT 'MuddyWater'

حملات مرتبط با APT «MuddyWater» شامل ایمیل‌های فیشینگ نیزه‌ای و سوءاستفاده از آسیب‌پذیری‌های روز صفر برای به خطر انداختن قربانیان است. APT 'MuddyWater' حداقل به 30 آدرس IP مجزا متصل است. آنها همچنین داده های خود را از طریق بیش از چهار هزار سرور در معرض خطر هدایت می کنند، جایی که افزونه های خراب برای وردپرس به آنها اجازه نصب پراکسی را می دهد. تا به امروز، حداقل پنجاه سازمان و بیش از 1600 نفر قربانی حملات مرتبط با APT "MuddyWater" شده اند. جدیدترین حملات APT «MuddyWater» کاربران دستگاه‌های اندرویدی را هدف قرار می‌دهند و بدافزار را به قربانیان در تلاش برای نفوذ به دستگاه‌های تلفن همراهشان می‌رسانند. با توجه به سطح بالای اهداف این گروه تحت حمایت دولت، بعید است که اکثر کاربران رایانه شخصی خود را در معرض حمله APT «MuddyWater» قرار دهند. با این حال، اقداماتی که می‌تواند به محافظت از کاربران رایانه در برابر حملاتی مانند «MuddyWater» کمک کند، همان است که در مورد اکثر بدافزارها و گروه‌های مجرمانه اعمال می‌شود، از جمله استفاده از نرم‌افزار امنیتی قوی، نصب آخرین وصله‌های امنیتی، و اجتناب از محتوای مشکوک آنلاین. و پیوست های ایمیل

حملات Android به APT 'MuddyWater' مرتبط است

یکی از جدیدترین ابزارهای حمله مورد استفاده توسط "MuddyWater" APT یک تهدید بدافزار اندرویدی است. محققان امنیتی رایانه شخصی سه نمونه از این بدافزار اندرویدی را گزارش کرده‌اند که به نظر می‌رسد دو نمونه از آن‌ها نسخه‌های ناتمام هستند که در دسامبر 2017 ایجاد شده‌اند. آخرین حمله مربوط به 'MuddyWater' APT با استفاده از یک وب‌سایت در معرض خطر در ترکیه حذف شد. قربانیان این حمله APT 'MuddyWater' در افغانستان بودند. مانند اکثر حملات جاسوسی APT 'MuddyWater'، هدف از این عفونت دسترسی به مخاطبین قربانی، تاریخچه تماس ها و پیام های متنی و همچنین دسترسی به اطلاعات GPS در دستگاه آلوده بود. سپس از این اطلاعات می توان برای آسیب رساندن به قربانی یا سود به طرق مختلف استفاده کرد. سایر ابزارهای مرتبط با حملات APT 'MuddyWater' عبارتند از تروجان های درب پشتی سفارشی. سه درب پشتی سفارشی متمایز به APT 'MuddyWater' مرتبط شده اند:

1. اولین تروجان backdoor سفارشی از یک سرویس ابری برای ذخیره تمام داده های مرتبط با حمله APT 'MuddyWater' استفاده می کند.
2. دومین تروجان backdoor سفارشی مبتنی بر دات نت است و PowerShell را به عنوان بخشی از کمپین خود اجرا می کند.
3. سومین درب پشتی سفارشی مرتبط با حمله APT 'MuddyWater' مبتنی بر دلفی است و برای جمع آوری اطلاعات سیستم قربانی طراحی شده است.

هنگامی که دستگاه قربانی در معرض خطر قرار گرفت، APT «MuddyWater» از بدافزارها و ابزارهای شناخته شده برای کنترل رایانه آلوده و جمع‌آوری داده‌های مورد نیاز آنها استفاده می‌کند. جنایتکارانی که بخشی از حملات APT 'MuddyWater' هستند خطاناپذیر نیستند. مواردی از کدهای نامرغوب و داده های لو رفته وجود دارد که به آنها اجازه می دهد اطلاعات بیشتری در مورد هویت مهاجمان APT 'MuddyWater' تعیین کنند.