'MuddyWater' APT

De 'MuddyWater' APT is een criminele groep die lijkt te zijn gevestigd in Iran. APT staat voor "Advanced Persistent Threat", een term die door pc-beveiligingsonderzoekers wordt gebruikt om naar dit soort criminele groepen te verwijzen. Screenshots van malware gekoppeld aan de 'MuddyWater' APT wijzen erop dat hun locatie in Iran is gevestigd en mogelijk wordt gesponsord door hun regering. De hoofdactiviteiten van APT 'MuddyWater' lijken gericht op andere landen in het Midden-Oosten. De APT-aanvallen van 'MuddyWater' waren gericht op ambassades, diplomaten en overheidsfunctionarissen en zijn mogelijk gericht op het verschaffen van een sociaal-politiek voordeel. De 'MuddyWater' APT-aanvallen in het verleden waren ook gericht op telecommunicatiebedrijven. De 'MuddyWater' APT is ook in verband gebracht met valse vlagaanvallen. Dit zijn aanvallen die zijn ontworpen om eruit te zien alsof een andere actor ze heeft uitgevoerd. De 'MuddyWater' APT valse vlag-aanvallen in het verleden hebben zich voorgedaan als Israël, China, Rusland en andere landen, vaak in een poging om onrust of conflict te veroorzaken tussen het slachtoffer en de nagebootste partij.

Aanvalstactieken geassocieerd met de 'MuddyWater' APT Group

De aanvallen die verband houden met de 'MuddyWater' APT omvatten onder meer spear-phishing-e-mails en de exploitatie van zero-day-kwetsbaarheden om hun slachtoffers in gevaar te brengen. De 'MuddyWater' APT is gekoppeld aan minimaal 30 verschillende IP-adressen. Ze zullen hun gegevens ook door meer dan vierduizend gecompromitteerde servers leiden, waar ze door corrupte plug-ins voor WordPress proxy's konden installeren. Tot op heden zijn minstens vijftig organisaties en meer dan 1600 personen het slachtoffer geworden van aanvallen die verband houden met de 'MuddyWater' APT. De meest recente 'MuddyWater' APT-aanvallen zijn gericht op gebruikers van Android-apparaten en leveren malware aan slachtoffers in een poging hun mobiele apparaten te infiltreren. Vanwege de hoge zichtbaarheid van de doelen van deze door de staat gesponsorde groep, is het onwaarschijnlijk dat de meeste individuele computergebruikers zullen worden gecompromitteerd door een 'MuddyWater' APT-aanval. De maatregelen die computergebruikers kunnen beschermen tegen aanvallen zoals de 'MuddyWater' APT's zijn echter dezelfde die van toepassing zijn op de meeste malware en criminele groepen, waaronder het gebruik van krachtige beveiligingssoftware, het installeren van de nieuwste beveiligingspatches en het vermijden van twijfelachtige online inhoud en e-mailbijlagen.

Android-aanvallen gekoppeld aan de 'MuddyWater' APT

Een van de nieuwste aanvalstools die door de 'MuddyWater' APT wordt gebruikt, is een Android-malwarebedreiging. Pc-beveiligingsonderzoekers hebben drie voorbeelden van deze Android-malware gerapporteerd, waarvan er twee onvoltooide versies lijken te zijn die in december 2017 zijn gemaakt. De meest recente aanval met de 'MuddyWater' APT is gedropt met behulp van een gecompromitteerde website in Turkije. De slachtoffers van deze 'MuddyWater' APT-aanval bevonden zich in Afghanistan. Zoals de meeste 'MuddyWater' APT-spionageaanvallen, was het doel van deze infectie om toegang te krijgen tot de contacten, belgeschiedenis en sms-berichten van het slachtoffer, evenals om toegang te krijgen tot GPS-informatie op het geïnfecteerde apparaat. Deze informatie kan vervolgens op allerlei manieren worden gebruikt om het slachtoffer schade toe te brengen of winst te maken. Andere tools die verband houden met de 'MuddyWater' APT-aanvallen zijn onder meer aangepaste backdoor-trojans. Er zijn drie verschillende aangepaste achterdeuren gekoppeld aan de 'MuddyWater' APT:

1. De eerste aangepaste backdoor Trojan gebruikt een cloudservice voor het opslaan van alle gegevens die verband houden met de 'MuddyWater' APT-aanval.
2. De tweede aangepaste backdoor Trojan is gebaseerd op .NET en voert PowerShell uit als onderdeel van zijn campagne.
3. De derde aangepaste achterdeur in verband met de 'MuddyWater' APT-aanval is gebaseerd op Delphi en is ontworpen om systeeminformatie van het slachtoffer te verzamelen.

Zodra het apparaat van het slachtoffer is gecompromitteerd, zal de 'MuddyWater' APT bekende malware en tools gebruiken om de geïnfecteerde computer over te nemen en de gegevens te verzamelen die ze nodig hebben. De criminelen die deel uitmaken van de 'MuddyWater' APT-aanvallen zijn niet onfeilbaar. Er zijn gevallen van slordige code en gelekte gegevens waardoor ze meer konden achterhalen over de identiteit van de 'MuddyWater' APT-aanvallers.