APT „MuddyWater”

APT „MuddyWater” to grupa przestępcza, która wydaje się mieć siedzibę w Iranie. APT to skrót od „Advanced Persistent Threat”, terminu używanego przez badaczy bezpieczeństwa komputerów PC w odniesieniu do tego rodzaju grup przestępczych. Zrzuty ekranu złośliwego oprogramowania powiązanego z APT „MuddyWater” wskazują, że ich lokalizacja znajduje się w Iranie i prawdopodobnie jest sponsorowana przez ich rząd. Główne działania APT „MuddyWater” wydają się być skierowane na inne kraje Bliskiego Wschodu. Ataki APT „MuddyWater” są wymierzone w ambasady, dyplomatów i urzędników państwowych i mogą koncentrować się na zapewnieniu im społeczno-politycznej przewagi. Ataki APT „MuddyWater” w przeszłości były również wymierzone w firmy telekomunikacyjne. APT „MuddyWater” jest również powiązany z atakami pod fałszywą flagą. Są to ataki, które mają wyglądać tak, jakby przeprowadził je inny aktor. Ataki fałszywej flagi APT „MuddyWater” w przeszłości podszywały się pod Izrael, Chiny, Rosję i inne kraje, często w celu wywołania niepokoju lub konfliktu między ofiarą a podszywającą się stroną.

Taktyki ataku powiązane z grupą APT „MuddyWater”

Ataki związane z APT „MuddyWater” obejmują wiadomości e-mail typu spear phishing oraz wykorzystywanie luk zero-day w celu narażenia ofiar. APT „MuddyWater” jest powiązany z co najmniej 30 różnymi adresami IP. Będą również kierować swoje dane przez ponad cztery tysiące zhakowanych serwerów, na których uszkodzone wtyczki do WordPressa pozwoliły im zainstalować serwery proxy. Do tej pory co najmniej pięćdziesiąt organizacji i ponad 1600 osób padło ofiarą ataków powiązanych z APT „MuddyWater”. Najnowsze ataki APT „MuddyWater” są wymierzone w użytkowników urządzeń z Androidem, dostarczając ofiarom złośliwe oprogramowanie w celu infiltracji ich urządzeń mobilnych. Ze względu na głośne cele tej sponsorowanej przez państwo grupy jest mało prawdopodobne, że większość indywidualnych użytkowników komputerów zostanie narażona na atak APT „MuddyWater”. Jednak środki, które mogą pomóc chronić użytkowników komputerów przed atakami, takimi jak APT „MuddyWater”, są takie same, jak w przypadku większości złośliwego oprogramowania i grup przestępczych, w tym stosowanie silnego oprogramowania zabezpieczającego, instalowanie najnowszych poprawek zabezpieczeń i unikanie podejrzanych treści online i załączniki do wiadomości e-mail.

Ataki na Androida powiązane z APT „MuddyWater”

Jednym z najnowszych narzędzi ataku wykorzystywanych przez APT „MuddyWater” jest złośliwe oprogramowanie na Androida. Badacze bezpieczeństwa komputerów PC zgłosili trzy próbki tego złośliwego oprogramowania na Androida, z których dwie wydają się być niedokończonymi wersjami, które zostały utworzone w grudniu 2017 r. Najnowszy atak z wykorzystaniem APT „MuddyWater” został usunięty przy użyciu zhakowanej witryny w Turcji. Ofiary tego ataku APT „MuddyWater” znajdowały się w Afganistanie. Podobnie jak większość ataków szpiegowskich APT „MuddyWater”, celem tej infekcji było uzyskanie dostępu do kontaktów ofiary, historii połączeń i wiadomości tekstowych, a także uzyskanie dostępu do informacji GPS na zainfekowanym urządzeniu. Informacje te mogą następnie zostać wykorzystane do wyrządzenia krzywdy ofierze lub uzyskania korzyści na wiele różnych sposobów. Inne narzędzia związane z atakami APT „MuddyWater” obejmują niestandardowe trojany typu backdoor. Z APT „MuddyWater” powiązano trzy różne niestandardowe backdoory:

1. Pierwszy niestandardowy trojan typu backdoor wykorzystuje usługę w chmurze do przechowywania wszystkich danych związanych z atakiem APT „MuddyWater”.
2. Drugi niestandardowy trojan typu backdoor jest oparty na platformie .NET i uruchamia PowerShell w ramach swojej kampanii.
3. Trzeci niestandardowy backdoor powiązany z atakiem APT „MuddyWater” jest oparty na Delphi i ma na celu zbieranie informacji o systemie ofiary.

Gdy urządzenie ofiary zostanie zhakowane, APT „MuddyWater” użyje znanego złośliwego oprogramowania i narzędzi, aby przejąć zainfekowany komputer i zebrać potrzebne dane. Przestępcy uczestniczący w atakach APT „MuddyWater” nie są nieomylni. Istnieją przypadki niechlujnego kodu i wycieków danych, które pozwoliły im ustalić więcej na temat tożsamości osób atakujących APT „MuddyWater”.