'MuddyWater' APT

APT 'MuddyWater' ialah kumpulan penjenayah yang nampaknya berpangkalan di Iran. APT bermaksud "Ancaman Berterusan Lanjutan", istilah yang digunakan oleh penyelidik keselamatan PC untuk merujuk kepada kumpulan jenayah ini. Tangkapan skrin daripada perisian hasad yang dipautkan ke APT 'MuddyWater' menunjukkan lokasi mereka berpangkalan di Iran, dan mungkin ditaja oleh kerajaan mereka. Aktiviti utama APT 'MuddyWater' nampaknya menjurus kepada negara-negara lain di Timur Tengah. Serangan APT 'MuddyWater' telah menyasarkan kedutaan, diplomat dan pegawai kerajaan dan mungkin tertumpu untuk memberikan mereka kelebihan sosiopolitik. Serangan APT 'MuddyWater' pada masa lalu juga menyasarkan syarikat telekomunikasi. APT 'MuddyWater' juga telah dikaitkan dengan serangan bendera palsu. Ini adalah serangan yang direka untuk kelihatan seolah-olah pelakon yang berbeza telah melakukannya. Serangan bendera palsu APT 'MuddyWater' pada masa lalu telah menyamar sebagai Israel, China, Rusia dan negara lain, selalunya dalam usaha untuk menimbulkan keresahan atau konflik antara mangsa dan pihak yang menyamar.

Taktik Serangan Berkaitan dengan Kumpulan APT 'MuddyWater'

Serangan yang dikaitkan dengan APT 'MuddyWater' termasuk e-mel spear phishing dan eksploitasi kelemahan sifar hari untuk menjejaskan mangsa mereka. APT 'MuddyWater' dipautkan sekurang-kurangnya 30 alamat IP yang berbeza. Mereka juga akan mengarahkan data mereka melalui lebih daripada empat ribu pelayan yang terjejas, di mana pemalam yang rosak untuk WordPress telah membenarkan mereka memasang proksi. Setakat ini, sekurang-kurangnya lima puluh organisasi dan lebih 1600 individu telah menjadi mangsa serangan yang dikaitkan dengan APT 'MuddyWater'. Serangan APT 'MuddyWater' terbaharu menyasarkan pengguna peranti Android, menghantar perisian hasad kepada mangsa dalam percubaan untuk menyusup ke peranti mudah alih mereka. Oleh kerana sasaran berprofil tinggi kumpulan tajaan negeri ini, tidak mungkin kebanyakan pengguna komputer individu akan mendapati diri mereka terjejas oleh serangan APT 'MuddyWater'. Walau bagaimanapun, langkah yang boleh membantu memastikan pengguna komputer selamat daripada serangan seperti APT 'MuddyWater' adalah sama yang digunakan untuk kebanyakan kumpulan perisian hasad dan jenayah, termasuk penggunaan perisian keselamatan yang kukuh, memasang tampung keselamatan terkini dan mengelakkan kandungan dalam talian yang boleh dipersoalkan. dan lampiran e-mel.

Serangan Android Dipautkan kepada APT 'MuddyWater'

Salah satu alat serangan terkini yang digunakan oleh 'MuddyWater' APT ialah ancaman perisian hasad Android. Penyelidik keselamatan PC telah melaporkan tiga sampel perisian hasad Android ini, dua daripadanya nampaknya versi belum lengkap yang dibuat pada Disember 2017. Serangan terbaru yang melibatkan APT 'MuddyWater' telah digugurkan menggunakan tapak web yang terjejas di Turki. Mangsa serangan APT 'MuddyWater' ini terletak di Afghanistan. Seperti kebanyakan serangan pengintipan APT 'MuddyWater', tujuan jangkitan ini adalah untuk mendapatkan akses kepada kenalan mangsa, sejarah panggilan dan mesej teks, serta untuk mengakses maklumat GPS pada peranti yang dijangkiti. Maklumat ini kemudiannya boleh digunakan untuk membahayakan mangsa atau mengaut keuntungan dalam pelbagai cara. Alat lain yang dikaitkan dengan serangan APT 'MuddyWater' termasuk Trojan pintu belakang tersuai. Tiga pintu belakang tersuai yang berbeza telah dikaitkan dengan APT 'MuddyWater':

1. Trojan pintu belakang tersuai pertama menggunakan perkhidmatan awan untuk menyimpan semua data yang dikaitkan dengan serangan APT 'MuddyWater'.
2. Trojan pintu belakang tersuai kedua adalah berdasarkan .NET dan menjalankan PowerShell sebagai sebahagian daripada kempennya.
3. Pintu belakang tersuai ketiga yang dikaitkan dengan serangan APT 'MuddyWater' adalah berdasarkan Delphi dan direka untuk mengumpul maklumat sistem mangsa.

Sebaik sahaja peranti mangsa telah terjejas, APT 'MuddyWater' akan menggunakan perisian hasad dan alat yang diketahui untuk mengambil alih komputer yang dijangkiti dan mengumpul data yang mereka perlukan. Penjenayah yang menjadi sebahagian daripada serangan APT 'MuddyWater' bukanlah maksum. Terdapat contoh kod ceroboh dan data bocor yang membolehkan mereka menentukan lebih lanjut tentang identiti penyerang APT 'MuddyWater'.