APT 'MuddyWater'

ה-'MuddyWater' APT היא קבוצת פשע שנראה שבסיסה באיראן. APT מייצג "Advanced Persistent Threat", מונח המשמש את חוקרי אבטחת המחשבים כדי להתייחס לקבוצות פליליות מסוג זה. צילומי מסך מתוכנות זדוניות המקושרות ל-'MuddyWater' APT מצביעות על המיקום שלהם באיראן, ואולי בחסות ממשלתם. נראה כי הפעילות העיקרית של ה-APT של 'MuddyWater' מופנית כלפי מדינות אחרות במזרח התיכון. התקפות ה-APT של 'MuddyWater' כוונו לשגרירויות, דיפלומטים ופקידי ממשל ועשויות להיות ממוקדות במתן יתרון חברתי-פוליטי. התקפות APT 'MuddyWater' בעבר כוונו גם לחברות תקשורת. ה-APT 'MuddyWater' נקשר גם למתקפות דגל שווא. אלו התקפות שנועדו להיראות כאילו שחקן אחר ביצע אותן. התקפות הדגל הכוזב של 'MuddyWater' APT בעבר התחזו לישראל, סין, רוסיה ומדינות אחרות, לעתים קרובות בניסיון לגרום לתסיסה או סכסוך בין הקורבן לבין הצד המתחזה.

טקטיקות התקפה הקשורות לקבוצת APT 'MuddyWater'

ההתקפות הקשורות ל-'MuddyWater' APT כוללות דוא"ל דיוג בחנית וניצול נקודות תורפה ביום אפס כדי לסכן את הקורבנות שלהם. ה-APT 'MuddyWater' מקושר לפחות 30 כתובות IP נפרדות. הם גם ינתבו את הנתונים שלהם דרך יותר מארבעת אלפים שרתים שנפגעו, שבהם תוספים פגומים עבור וורדפרס אפשרו להם להתקין פרוקסי. עד כה, לפחות חמישים ארגונים ויותר מ-1600 אנשים היו קורבנות של התקפות הקשורות ל-'MuddyWater' APT. התקפות APT של 'MuddyWater' האחרונות מכוונות למשתמשי מכשירי אנדרואיד, ומספקות תוכנות זדוניות לקורבנות בניסיון לחדור למכשירים הניידים שלהם. בשל הפרופיל הגבוה של המטרות של קבוצה זו בחסות המדינה, אין זה סביר שרוב משתמשי המחשב האישיים ימצאו את עצמם נפגעים על ידי התקפת APT 'MuddyWater'. עם זאת, האמצעים שיכולים לעזור לשמור על בטיחות משתמשי המחשב מפני התקפות כמו 'MuddyWater' APT זהים החלים על רוב קבוצות התוכנות הזדוניות והפשיעה, כולל שימוש בתוכנת אבטחה חזקה, התקנת תיקוני האבטחה העדכניים ביותר והימנעות מתוכן מקוון מפוקפק. וקבצים מצורפים למייל.

התקפות אנדרואיד מקושרות ל-'MuddyWater' APT

אחד מכלי התקיפה האחרונים שבהם השתמש ה-'MuddyWater' APT הוא איום תוכנות זדוניות של אנדרואיד. חוקרי אבטחת PC דיווחו על שלוש דוגמאות של תוכנת זדונית זו של אנדרואיד, שתיים מהן נראות כמו גרסאות לא הושלמו שנוצרו בדצמבר 2017. המתקפה האחרונה שכללה את 'MuddyWater' APT בוטלה באמצעות אתר אינטרנט שנפגע בטורקיה. הקורבנות של מתקפת APT 'MuddyWater' זו אותרו באפגניסטן. כמו רוב מתקפות הריגול של 'MuddyWater' APT, מטרת ההדבקה הזו הייתה לקבל גישה לאנשי הקשר, היסטוריית השיחות והודעות הטקסט של הקורבן, כמו גם לגשת למידע GPS במכשיר הנגוע. לאחר מכן ניתן להשתמש במידע זה כדי לפגוע בקורבן או ברווח במגוון רחב של דרכים. כלים אחרים הקשורים להתקפות APT 'MuddyWater' כוללים סוסים טרויאנים מותאמים אישית בדלת אחורית. שלוש דלתות אחוריות מותאמות אישית נקשרו ל-'MuddyWater' APT:

1. הטרויאני הראשון בדלת האחורית המותאם אישית משתמש בשירות ענן לאחסון כל הנתונים הקשורים למתקפת ה-APT 'MuddyWater'.
2. הטרויאני המותאם אישית השני בדלת האחורית מבוסס על .NET ומריץ את PowerShell כחלק מהקמפיין שלו.
3. הדלת האחורית המותאמת אישית השלישית הקשורה להתקפת 'MuddyWater' APT מבוססת על דלפי ונועדת לאסוף את מידע המערכת של הקורבן.

לאחר שהמכשיר של הקורבן נפרץ, ה-APT 'MuddyWater' ישתמש בתוכנות זדוניות וכלים ידועים כדי להשתלט על המחשב הנגוע ולאסוף את הנתונים שהם צריכים. הפושעים שהם חלק ממתקפות ה-APT של 'MuddyWater' אינם בלתי טעויות. ישנם מקרים של קוד מרושל ונתונים שדלפו שאפשרו להם לקבוע יותר על זהותם של תוקפי ה-APT 'MuddyWater'.