„MuddyWater” APT
APT „MuddyWater” este un grup criminal care pare să aibă sediul în Iran. APT înseamnă „Advanced Persistent Threat”, un termen folosit de cercetătorii în domeniul securității computerelor pentru a se referi la aceste tipuri de grupuri criminale. Capturile de ecran de la programe malware legate de APT „MuddyWater” indică faptul că locația lor se află în Iran și, posibil, este sponsorizată de guvernul lor. Principalele activități ale APT „MuddyWater” par orientate către alte țări din Orientul Mijlociu. Atacurile APT „MuddyWater” au vizat ambasade, diplomați și oficiali guvernamentali și pot fi concentrate pe oferirea lor de un avantaj sociopolitic. Atacurile APT „MuddyWater” din trecut au vizat și companiile de telecomunicații. APT „MuddyWater” a fost, de asemenea, asociat cu atacuri false flag. Acestea sunt atacuri care sunt concepute să arate ca și cum un alt actor le-a efectuat. Atacurile „MuddyWater” APT cu steag fals din trecut au uzurpat identitatea Israelului, China, Rusia și alte țări, adesea în încercarea de a provoca tulburări sau conflicte între victimă și partea supusă identității.
Tactici de atac asociate cu grupul APT „MuddyWater”.
Atacurile asociate cu APT „MuddyWater” includ e-mailuri de tip spear phishing și exploatarea vulnerabilităților zero day pentru a-și compromite victimele. APT-ul „MuddyWater” este legat de cel puțin 30 de adrese IP distincte. De asemenea, își vor direcționa datele prin mai mult de patru mii de servere compromise, unde pluginurile corupte pentru WordPress le-au permis să instaleze proxy. Până în prezent, cel puțin cincizeci de organizații și peste 1600 de persoane au fost victime ale atacurilor legate de APT „MuddyWater”. Cele mai recente atacuri APT „MuddyWater” vizează utilizatorii de dispozitive Android, furnizând malware victimelor în încercarea de a se infiltra în dispozitivele lor mobile. Datorită profilului înalt al țintelor acestui grup sponsorizat de stat, este puțin probabil ca majoritatea utilizatorilor individuali de computere să fie compromisi de un atac APT „MuddyWater”. Cu toate acestea, măsurile care pot ajuta la protejarea utilizatorilor de computere de atacuri precum APT-urile „MuddyWater” sunt aceleași care se aplică majorității programelor malware și grupurilor criminale, inclusiv utilizarea unui software de securitate puternic, instalarea celor mai recente corecții de securitate și evitarea conținutului online discutabil. și atașamente la e-mail.
Atacurile Android legate de APT „MuddyWater”.
Unul dintre cele mai recente instrumente de atac utilizate de APT „MuddyWater” este o amenințare malware Android. Cercetătorii de securitate PC au raportat trei mostre ale acestui malware Android, dintre care două par a fi versiuni nefinalizate care au fost create în decembrie 2017. Cel mai recent atac care implică APT „MuddyWater” a fost eliminat folosind un site web compromis în Turcia. Victimele acestui atac APT „MuddyWater” au fost localizate în Afganistan. La fel ca majoritatea atacurilor de spionaj APT „MuddyWater”, scopul acestei infecții a fost de a obține acces la contactele victimei, istoricul apelurilor și mesajele text, precum și pentru a accesa informațiile GPS de pe dispozitivul infectat. Aceste informații pot fi apoi folosite pentru a dăuna victimei sau pentru a profita într-o mare varietate de moduri. Alte instrumente asociate cu atacurile APT „MuddyWater” includ troieni personalizați. Trei uși din spate personalizate distincte au fost legate de APT „MuddyWater”:
1. Primul troian personalizat backdoor folosește un serviciu cloud pentru stocarea tuturor datelor asociate cu atacul APT „MuddyWater”.
2. Al doilea troian personalizat backdoor se bazează pe .NET și rulează PowerShell ca parte a campaniei sale.
3. A treia ușă din spate personalizată asociată cu atacul APT „MuddyWater” se bazează pe Delphi și este concepută pentru a colecta informațiile de sistem ale victimei.
Odată ce dispozitivul victimei a fost compromis, APT „MuddyWater” va folosi programe malware și instrumente cunoscute pentru a prelua computerul infectat și a colecta datele de care au nevoie. Infractorii care fac parte din atacurile APT „MuddyWater” nu sunt infailibili. Există cazuri de cod neglijenți și date scurse care le-au permis să determine mai multe despre identitatea atacatorilor APT „MuddyWater”.