'MuddyWater' APT

'MuddyWater' APT je kriminalna skupina čija se sjedište čini u Iranu. APT je skraćenica za “Advanced Persistent Threat”, izraz koji koriste istraživači sigurnosti računala za označavanje ovakvih kriminalnih skupina. Snimke zaslona sa zlonamjernog softvera povezanog s 'MuddyWater' APT-om ukazuju na to da se njihova lokacija nalazi u Iranu i da je vjerojatno sponzorirana od strane njihove vlade. Čini se da su glavne aktivnosti APT-a 'MuddyWater' usmjerene prema drugim zemljama Bliskog istoka. Napadi APT-a 'MuddyWater' ciljani su na veleposlanstva, diplomate i vladine dužnosnike i mogu biti usredotočeni na pružanje sociopolitičke prednosti. Napadi APT-a 'MuddyWater' u prošlosti također su bili usmjereni na telekomunikacijske tvrtke. APT 'MuddyWater' također je povezan s napadima lažnom zastavom. To su napadi koji su osmišljeni tako da izgledaju kao da ih je izveo drugi akter. Napadi lažne zastave APT-a 'MuddyWater' u prošlosti su predstavljali Izrael, Kinu, Rusiju i druge zemlje, često u pokušaju da izazovu nemir ili sukob između žrtve i lažne strane.

Taktike napada povezane s APT grupom 'MuddyWater'

Napadi povezani s 'MuddyWater' APT uključuju spear phishing e-poruke i iskorištavanje ranjivosti nultog dana za kompromitiranje njihovih žrtava. 'MuddyWater' APT je povezan s najmanje 30 različitih IP adresa. Također će usmjeriti svoje podatke kroz više od četiri tisuće kompromitiranih poslužitelja, gdje su im oštećeni dodaci za WordPress omogućili instaliranje proxyja. Do danas je najmanje pedeset organizacija i više od 1600 pojedinaca žrtve napada povezanih s 'MuddyWater' APT-om. Najnoviji 'MuddyWater' APT napadi ciljaju korisnike Android uređaja, isporučujući zlonamjerni softver žrtvama u pokušaju infiltriranja na njihove mobilne uređaje. Zbog visokog profila meta ove grupe koju sponzorira država, malo je vjerojatno da će većina pojedinačnih korisnika računala biti ugrožena 'MuddyWater' APT napadom. Međutim, mjere koje mogu pomoći u zaštiti korisnika računala od napada poput APT-a 'MuddyWater' iste su koje se primjenjuju na većinu zlonamjernog softvera i kriminalnih grupa, uključujući korištenje jakog sigurnosnog softvera, instaliranje najnovijih sigurnosnih zakrpa i izbjegavanje upitnog mrežnog sadržaja i privitke e-pošte.

Android napadi povezani s 'MuddyWater' APT-om

Jedan od najnovijih alata za napad koji koristi 'MuddyWater' APT je prijetnja zlonamjernog softvera za Android. Istraživači za sigurnost računala izvijestili su o tri uzorka ovog zlonamjernog softvera za Android, od kojih se čini da su dvije nedovršene verzije koje su stvorene u prosincu 2017. Posljednji napad koji uključuje 'MuddyWater' APT odbačen je korištenjem kompromitirane web stranice u Turskoj. Žrtve ovog 'MuddyWater' APT napada locirane su u Afganistanu. Kao i većina 'MuddyWater' APT špijunskih napada, svrha ove zaraze bila je dobiti pristup žrtvinim kontaktima, povijesti poziva i tekstualnim porukama, kao i pristup GPS informacijama na zaraženom uređaju. Te se informacije zatim mogu koristiti za nanošenje štete žrtvi ili profita na razne načine. Ostali alati povezani s 'MuddyWater' APT napadima uključuju prilagođene backdoor trojance. Tri različita prilagođena stražnja vrata povezana su s 'MuddyWater' APT-om:

1. Prvi prilagođeni backdoor trojanac koristi uslugu u oblaku za pohranjivanje svih podataka povezanih s 'MuddyWater' APT napadom.
2. Drugi prilagođeni backdoor trojanac temelji se na .NET-u i pokreće PowerShell kao dio svoje kampanje.
3. Treći prilagođeni backdoor povezan s 'MuddyWater' APT napadom temelji se na Delphiju i dizajniran je za prikupljanje informacija o sustavu žrtve.

Nakon što je uređaj žrtve kompromitiran, 'MuddyWater' APT će koristiti poznati zlonamjerni softver i alate kako bi preuzeo zaraženo računalo i prikupio podatke koji su im potrebni. Kriminalci koji su dio 'MuddyWater' APT napada nisu nepogrešivi. Postoje slučajevi neurednog koda i procurjelih podataka koji su im omogućili da utvrde više o identitetu 'MuddyWater' APT napadača.