'MuddyWater' APT
O 'MuddyWater' APT é um grupo criminoso que parece estar sediado no Irã. APT significa "Ameaça Persistente Avançada", um termo usado por pesquisadores de segurança de PCs para se referir a esses grupos criminosos. As capturas de tela do malware vinculado ao 'MuddyWater' APT apontam para sua localização no Irã e possivelmente patrocinada pelo governo. As principais atividades do 'MuddyWater' APT parecem apontadas para outros países do Oriente Médio. Os ataques do 'MuddyWater' APT têm como alvo embaixadas, diplomatas e funcionários do governo, e podem se concentrar em fornecer a eles uma vantagem sociopolítica. Os ataques do 'MuddyWater' APT no passado também atingiram empresas de telecomunicações. O 'MuddyWater' APT também foi associado a ataques de bandeira falsa. Esses ataques são projetados para parecer que foram executados por um ator diferente. Os ataques de bandeira falsa do 'MuddyWater' APT no passado personificaram Israel, China, Rússia e outros países, muitas vezes na tentativa de causar inquietação ou conflito entre as vítimas e a parte representada.
Táticas de Ataque Associadas ao Grupo 'MuddyWater' APT
Os ataques associados ao 'MuddyWater' APT incluem emails de spear phishing e a exploração de vulnerabilidades de dia zero para comprometer suas vítimas. O 'MuddyWater' APT está vinculado a pelo menos 30 endereços IP distintos. Eles também encaminharão seus dados por mais de quatro mil servidores comprometidos, onde plugins corrompidos para o WordPress lhes permitiram instalar proxies. Até o momento, pelo menos cinquenta organizações e mais de 1600 indivíduos foram vítimas de ataques ligados ao 'MuddyWater' APT. Os ataques mais recentes do 'MuddyWater' APT têm como alvo os usuários de dispositivos Android, entregando malware às vítimas na tentativa de se infiltrar em seus dispositivos móveis. Devido ao alto perfil dos alvos desse grupo patrocinado pelo estado, é improvável que a maioria dos usuários individuais de computadores se veja comprometida por um ataque do 'MuddyWater' APT. No entanto, as medidas que podem ajudar a manter os usuários de computadores protegidos contra ataques como os 'MuddyWater' APT são os mesmos que se aplicam à maioria dos grupos de malware e criminosos, incluindo o uso de um forte software de segurança, a instalação dos mais recentes patches de segurança, a prevenção de conteúdo on-line questionável e anexos de email.
Ataques ao Android Vinculados ao 'MuddyWater' APT
Uma das mais recentes ferramentas de ataque usadas pelo 'MuddyWater' APT é uma ameaça de malware para Android. Pesquisadores de segurança de PC relataram três amostras deste malware para o Android, duas das quais parecem ser versões incompletas criadas em dezembro de 2017. O ataque mais recente envolvendo o 'MuddyWater' APT foi descartado usando um site comprometido na Turquia. As vítimas deste ataque do 'MuddyWater' APT foram localizadas no Afeganistão. Como a maioria dos ataques de espionagem do 'MuddyWater' APT, o objetivo desta infecção era obter acesso aos contatos da vítima, histórico de chamadas e mensagens de texto, além de acessar informações de GPS no dispositivo infectado. Essas informações podem ser usadas para prejudicar a vítima ou lucrar de várias maneiras. Outras ferramentas associadas aos ataques do 'MuddyWater' APT incluem Trojans backdoor personalizados. Três backdoors personalizados distintos foram vinculados ao 'MuddyWater' APT:
- O primeiro Trojan backdoor personalizado usa um serviço de nuvem para armazenar todos os dados associados ao ataque do 'MuddyWater' APT.
- O segundo Trojan backdoor personalizado é baseado no .NET e executa o PowerShell como parte de sua campanha.
- O terceiro backdoor personalizado associado ao ataque do 'MuddyWater' APT é baseado no Delphi e foi projetado para coletar as informações do sistema da vítima.
Depois que o dispositivo da vítima for comprometido, o 'MuddyWater' APT usará malware e ferramentas conhecidas para controlar o computador infectado e coletar os dados necessários. Os criminosos que fazem parte dos ataques do 'MuddyWater' APT não são infalíveis. Há instâncias de código incorreto e dados vazados que permitiram determinar mais sobre a identidade dos atacantes do 'MuddyWater' APT.
