„MuddyWater“ APT
„MuddyWater“ APT yra nusikalstama grupuotė, kuri, atrodo, yra įsikūrusi Irane. APT reiškia „Advanced Persistent Threat“ – terminą, naudojamą kompiuterių saugumo tyrinėtojų, nurodydami tokias nusikalstamų grupuočių rūšis. Ekrano kopijos iš kenkėjiškų programų, susietų su „MuddyWater“ APT, rodo, kad jų vieta yra Irane ir galbūt remiama jų vyriausybės. Atrodo, kad pagrindinė „MuddyWater“ APT veikla yra nukreipta į kitas Artimųjų Rytų šalis. „MuddyWater“ APT atakos buvo nukreiptos į ambasadas, diplomatus ir vyriausybės pareigūnus ir gali būti nukreiptos į socialinio politinio pranašumo suteikimą. „MuddyWater“ APT atakos praeityje taip pat buvo nukreiptos į telekomunikacijų bendroves. „MuddyWater“ APT taip pat buvo siejamas su klaidingų vėliavų išpuoliais. Tai išpuoliai, skirti atrodyti taip, lyg jas būtų įvykdęs kitas veikėjas. „MuddyWater“ APT melagingos vėliavos išpuoliai praeityje buvo apsimetinėjami Izraeliu, Kinija, Rusija ir kitomis šalimis, dažnai bandant sukelti neramumus ar konfliktą tarp aukos ir šalies, kuria apsimetinėjama.
Atakos taktika, susijusi su „MuddyWater“ APT grupe
Atakos, susijusios su „MuddyWater“ APT, apima sukčiavimo el. laiškus ir nulinės dienos pažeidžiamumų išnaudojimą, siekiant pakenkti jų aukoms. „MuddyWater“ APT yra susietas su mažiausiai 30 skirtingų IP adresų. Jie taip pat nukreips savo duomenis per daugiau nei keturis tūkstančius pažeistų serverių, kur sugadinti „Wordpress“ papildiniai leido jiems įdiegti tarpinius serverius. Iki šiol mažiausiai penkiasdešimt organizacijų ir daugiau nei 1600 asmenų tapo atakų, susijusių su „MuddyWater“ APT, aukomis. Naujausios „MuddyWater“ APT atakos yra skirtos „Android“ įrenginių naudotojams, siunčiant kenkėjiškas programas aukoms, bandant įsiskverbti į jų mobiliuosius įrenginius. Dėl didelio šios valstybės remiamos grupės taikinių atgarsio mažai tikėtina, kad dauguma atskirų kompiuterių vartotojų susidurs su „MuddyWater“ APT ataka. Tačiau priemonės, kurios gali padėti apsaugoti kompiuterių vartotojus nuo atakų, tokių kaip „MuddyWater“ APT, yra tos pačios, kurios taikomos daugumai kenkėjiškų programų ir nusikalstamų grupuočių, įskaitant stiprios saugos programinės įrangos naudojimą, naujausių saugos pataisų diegimą ir abejotino internetinio turinio išvengimą. ir el. pašto priedus.
„Android“ atakos, susijusios su „MuddyWater“ APT
Vienas iš naujausių „MuddyWater“ APT naudojamų atakos įrankių yra „Android“ kenkėjiškų programų grėsmė. Kompiuterių saugumo tyrinėtojai pranešė apie tris šios „Android“ kenkėjiškos programos pavyzdžius, iš kurių dvi, atrodo, yra nebaigtos versijos, sukurtos 2017 m. gruodžio mėn. Naujausia ataka, susijusi su „MuddyWater“ APT, buvo nutraukta naudojant pažeistą svetainę Turkijoje. Šios „MuddyWater“ APT atakos aukos buvo Afganistane. Kaip ir daugumos „MuddyWater“ APT šnipinėjimo atakų atveju, šios infekcijos tikslas buvo pasiekti aukos kontaktus, skambučių istoriją ir tekstinius pranešimus, taip pat prieiti prie užkrėsto įrenginio GPS informacijos. Tada ši informacija gali būti naudojama įvairiais būdais pakenkti aukai arba pasipelnyti. Kiti įrankiai, susiję su „MuddyWater“ APT atakomis, apima pasirinktinius užpakalinių durų Trojos arklys. Su „MuddyWater“ APT buvo susietos trys atskiros individualizuotos užpakalinės durys:
1. Pirmasis pasirinktinis užpakalinių durų Trojos arklys naudoja debesies paslaugą, kad saugotų visus duomenis, susijusius su „MuddyWater“ APT ataka.
2. Antrasis pasirinktinis užpakalinių durų Trojos arklys yra pagrįstas .NET ir vykdo PowerShell kaip savo kampanijos dalį.
3. Trečiosios pasirinktinės užpakalinės durys, susijusios su „MuddyWater“ APT ataka, yra paremtos „Delphi“ ir yra skirtos aukos sistemos informacijai rinkti.
Kai aukos įrenginys bus pažeistas, „MuddyWater“ APT naudos žinomas kenkėjiškas programas ir įrankius, kad perimtų užkrėstą kompiuterį ir rinktų jiems reikalingus duomenis. Nusikaltėliai, dalyvaujantys „MuddyWater“ APT atakose, nėra neklystantys. Yra atvejų, kai netinkamas kodas ir nutekėję duomenys leido jiems daugiau sužinoti apie „MuddyWater“ APT užpuolikų tapatybę.
