„MuddyWater” APT

A „MuddyWater” APT egy bűnözői csoport, amelynek székhelye Iránban van. Az APT az „Advanced Persistent Threat” rövidítése, amelyet a PC-biztonsági kutatók használnak az ilyen típusú bűnözői csoportok megjelölésére. A „MuddyWater” APT-hez kapcsolódó rosszindulatú programokról készült képernyőképek arra mutatnak, hogy iráni székhelyük van, és valószínűleg a kormányuk szponzorálja. A „MuddyWater” APT fő tevékenységei a Közel-Kelet más országaira irányulnak. A „MuddyWater” APT támadások nagykövetségeket, diplomatákat és kormányzati tisztviselőket céloztak meg, és arra irányulhatnak, hogy társadalmi-politikai előnyt biztosítsanak számukra. A „MuddyWater” APT támadások a múltban távközlési cégeket is célba vettek. A „MuddyWater” APT-t hamis zászlós támadásokkal is összefüggésbe hozták. Ezek olyan támadások, amelyek úgy néznek ki, mintha egy másik szereplő követte volna el őket. A „MuddyWater” APT hamis zászlós támadásai a múltban Izraelt, Kínát, Oroszországot és más országokat adták ki, gyakran azzal a szándékkal, hogy nyugtalanságot vagy konfliktust keltsenek az áldozat és a megszemélyesített fél között.

A „MuddyWater” APT csoporthoz kapcsolódó támadási taktika

A „MuddyWater” APT-vel kapcsolatos támadások közé tartoznak a lándzsás adathalász e-mailek és a nulladik napi sebezhetőségek kihasználása áldozataik kompromittálására. A „MuddyWater” APT legalább 30 különböző IP-címhez kapcsolódik. Adataikat több mint négyezer feltört szerveren továbbítják majd, ahol a WordPress sérült beépülő moduljai lehetővé tették számukra, hogy proxykat telepítsenek. Eddig legalább ötven szervezet és több mint 1600 személy esett áldozatul a „MuddyWater” APT-vel kapcsolatos támadásoknak. A legutóbbi „MuddyWater” APT-támadások az Android-eszközök felhasználóit célozzák, és rosszindulatú programokat juttatnak el az áldozatokhoz, hogy megkíséreljék behatolni mobileszközeikre. Az államilag támogatott csoport célpontjainak nagy horderejűsége miatt nem valószínű, hogy a legtöbb egyéni számítógép-felhasználót veszélyeztetné egy „MuddyWater” APT támadás. Mindazonáltal azok az intézkedések, amelyek segíthetik a számítógép-felhasználók biztonságát az olyan támadásoktól, mint a „MuddyWater” APT-k, ugyanazok, mint a legtöbb rosszindulatú programra és bűnözői csoportra vonatkoznak, beleértve az erős biztonsági szoftverek használatát, a legújabb biztonsági javítások telepítését és a megkérdőjelezhető online tartalmak elkerülését. és e-mail mellékleteket.

Android-támadások a „MuddyWater” APT-hez kapcsolódnak

A „MuddyWater” APT által használt egyik legújabb támadási eszköz egy androidos rosszindulatú program. A PC-biztonsági kutatók három mintát jelentettek ennek az Android rosszindulatú programnak, amelyek közül kettő befejezetlen verziónak tűnik, amelyet 2017 decemberében hoztak létre. A legutóbbi, a „MuddyWater” APT-t érintő támadást egy feltört törökországi webhely segítségével utasították el. Ennek a „MuddyWater” APT-támadásnak az áldozatai Afganisztánban voltak. A legtöbb „MuddyWater” APT kémtámadáshoz hasonlóan ennek a fertőzésnek az volt a célja, hogy hozzáférjen az áldozat névjegyeihez, híváslistájához és szöveges üzeneteihez, valamint hozzáférjen a fertőzött eszközön lévő GPS-információkhoz. Ezt az információt azután sokféle módon fel lehet használni az áldozat ártására vagy haszonszerzésre. A „MuddyWater” APT-támadásokhoz kapcsolódó egyéb eszközök közé tartoznak az egyedi hátsó ajtós trójaiak. Három különálló egyedi hátsó ajtó kapcsolódik a „MuddyWater” APT-hez:

1. Az első egyéni hátsóajtós trójai felhőszolgáltatást használ a „MuddyWater” APT-támadáshoz kapcsolódó összes adat tárolására.
2. A második egyéni hátsó ajtós trójai a .NET-en alapul, és kampánya részeként a PowerShellt futtatja.
3. A „MuddyWater” APT támadáshoz kapcsolódó harmadik egyéni hátsó ajtó a Delphi-n alapul, és az áldozat rendszerinformációit hivatott összegyűjteni.

Amint az áldozat eszközét feltörték, a „MuddyWater” APT ismert rosszindulatú programokat és eszközöket használ, hogy átvegye a fertőzött számítógépet, és összegyűjtse a szükséges adatokat. A „MuddyWater” APT támadásokban részt vevő bűnözők nem tévedhetetlenek. Vannak esetek hanyag kóddal és kiszivárgott adatokkal, amelyek lehetővé tették számukra, hogy többet tudjanak megtudni a „MuddyWater” APT támadók kilétéről.