'MuddyWater' APT

'MuddyWater' APT er en kriminell gruppe som ser ut til å være basert i Iran. APT står for "Advanced Persistent Threat", et begrep som brukes av PC-sikkerhetsforskere for å referere til denne typen kriminelle grupper. Skjermbilder fra skadelig programvare knyttet til 'MuddyWater' APT peker på at deres beliggenhet er basert i Iran, og muligens er sponset av deres regjering. 'MuddyWater' APTs hovedaktiviteter ser ut til å peke mot andre land i Midtøsten. 'MuddyWater' APT-angrepene har rettet seg mot ambassader, diplomater og myndighetspersoner og kan være fokusert på å gi dem en sosiopolitisk fordel. 'MuddyWater' APT-angrepene i det siste har også rettet mot telekommunikasjonsselskaper. 'MuddyWater' APT har også blitt assosiert med falskt flagg-angrep. Dette er angrep som er designet for å se ut som om en annen aktør har utført dem. 'MuddyWater' APT falske flagg-angrep i det siste har etterlignet Israel, Kina, Russland og andre land, ofte i et forsøk på å forårsake uro eller konflikt mellom offeret og den etterligne parten.

Angrepstaktikker knyttet til 'MuddyWater' APT Group

Angrepene knyttet til 'MuddyWater' APT inkluderer phishing-e-poster med spyd og utnyttelse av nulldagers sårbarheter for å kompromittere ofrene deres. 'MuddyWater' APT er koblet til minst 30 forskjellige IP-adresser. De vil også rute dataene sine gjennom mer enn fire tusen kompromitterte servere, der korrupte plugins for WordPress har tillatt dem å installere proxyer. Til dags dato har minst femti organisasjoner og mer enn 1600 individer vært ofre for angrep knyttet til 'MuddyWater' APT. De siste 'MuddyWater' APT-angrepene er rettet mot brukere av Android-enheter, og leverer skadevare til ofre i et forsøk på å infiltrere deres mobile enheter. På grunn av den høye profilen til målene til denne statssponsede gruppen, er det usannsynlig at de fleste individuelle databrukere vil finne seg selv kompromittert av et 'MuddyWater' APT-angrep. Tiltakene som kan bidra til å holde databrukere trygge mot angrep som 'MuddyWater' APT'ene er de samme som gjelder for de fleste skadevare og kriminelle grupper, inkludert bruk av sterk sikkerhetsprogramvare, installering av de nyeste sikkerhetsoppdateringene og unngåelse av tvilsomt innhold på nettet. og e-postvedlegg.

Android-angrep knyttet til 'MuddyWater' APT

Et av de siste angrepsverktøyene som brukes av 'MuddyWater' APT er en Android-trussel. PC-sikkerhetsforskere har rapportert tre prøver av denne Android-skadevare, hvorav to ser ut til å være ufullførte versjoner som ble opprettet i desember 2017. Det siste angrepet som involverte 'MuddyWater' APT ble droppet ved å bruke et kompromittert nettsted i Tyrkia. Ofrene for dette 'MuddyWater' APT-angrepet var lokalisert i Afghanistan. Som de fleste "MuddyWater" APT-spionasjeangrepene, var formålet med denne infeksjonen å få tilgang til offerets kontakter, anropshistorikk og tekstmeldinger, samt å få tilgang til GPS-informasjon på den infiserte enheten. Denne informasjonen kan deretter brukes til å skade offeret eller fortjeneste på en lang rekke måter. Andre verktøy knyttet til 'MuddyWater' APT-angrep inkluderer tilpassede bakdørstrojanere. Tre distinkte tilpassede bakdører har blitt knyttet til 'MuddyWater' APT:

1. Den første tilpassede bakdørstrojaneren bruker en skytjeneste for å lagre alle data knyttet til 'MuddyWater' APT-angrepet.
2. Den andre tilpassede bakdørstrojaneren er basert på .NET og kjører PowerShell som en del av kampanjen.
3. Den tredje tilpassede bakdøren knyttet til 'MuddyWater' APT-angrepet er basert på Delphi og er designet for å samle offerets systeminformasjon.

Når offerets enhet har blitt kompromittert, vil 'MuddyWater' APT bruke kjent skadelig programvare og verktøy for å overta den infiserte datamaskinen og samle inn dataene de trenger. De kriminelle som er en del av 'MuddyWater' APT-angrepene er ikke ufeilbarlige. Det er tilfeller av slurvete kode og lekkede data som har gjort det mulig for dem å finne ut mer om identiteten til 'MuddyWater' APT-angriperne.