АПТ "MuddyWater"
APT «MuddyWater» — это преступная группировка, которая, по-видимому, базируется в Иране. APT расшифровывается как «Advanced Persistent Threat» — термин, используемый исследователями компьютерной безопасности для обозначения подобных преступных групп. Скриншоты вредоносных программ, связанных с APT «MuddyWater», указывают на то, что их местонахождение базируется в Иране и, возможно, спонсируется их правительством. Основная деятельность APT «MuddyWater», по-видимому, направлена на другие страны Ближнего Востока. APT-атаки «MuddyWater» нацелены на посольства, дипломатов и правительственных чиновников и могут быть направлены на предоставление им социально-политического преимущества. APT-атаки MuddyWater в прошлом также были нацелены на телекоммуникационные компании. APT «MuddyWater» также был связан с атаками под ложным флагом. Это атаки, созданные таким образом, чтобы они выглядели так, как будто их совершил другой участник. Атаки под ложным флагом APT «MuddyWater» в прошлом выдавали себя за Израиль, Китай, Россию и другие страны, часто в попытке вызвать беспорядки или конфликт между жертвой и выдающей себя стороной.
Тактика атаки, связанная с APT-группой MuddyWater
Атаки, связанные с APT MuddyWater, включают адресную рассылку электронных писем и использование уязвимостей нулевого дня для компрометации своих жертв. APT «MuddyWater» связан как минимум с 30 различными IP-адресами. Они также будут направлять свои данные через более чем четыре тысячи скомпрометированных серверов, где поврежденные плагины для WordPress позволили им установить прокси. На сегодняшний день не менее пятидесяти организаций и более 1600 человек стали жертвами атак, связанных с APT «MuddyWater». Самые последние APT-атаки MuddyWater нацелены на пользователей устройств Android, доставляя вредоносное ПО жертвам в попытке проникнуть на их мобильные устройства. Из-за высокой известности целей этой группы, спонсируемой государством, маловероятно, что большинство индивидуальных пользователей компьютеров окажутся скомпрометированы APT-атакой MuddyWater. Однако меры, которые могут защитить пользователей компьютеров от таких атак, как APT-атаки MuddyWater, аналогичны тем, которые применяются к большинству вредоносных программ и преступных групп, включая использование надежного программного обеспечения для обеспечения безопасности, установку последних исправлений безопасности и избегание сомнительного онлайн-контента. и вложения электронной почты.
Атаки на Android связаны с APT MuddyWater
Одним из последних инструментов атаки, используемых APT «MuddyWater», является угроза вредоносного ПО для Android. Исследователи безопасности ПК сообщили о трех образцах этой вредоносной программы для Android, две из которых представляют собой незавершенные версии, созданные в декабре 2017 года. Самая последняя атака с использованием APT MuddyWater была проведена с использованием взломанного веб-сайта в Турции. Жертвы этой APT-атаки MuddyWater находились в Афганистане. Как и большинство APT-шпионажных атак MuddyWater, целью этой инфекции было получение доступа к контактам жертвы, истории звонков и текстовым сообщениям, а также доступ к информации GPS на зараженном устройстве. Затем эта информация может быть использована для причинения вреда жертве или получения прибыли самыми разными способами. Другие инструменты, связанные с APT-атаками MuddyWater, включают специальные трояны с бэкдором. Три отдельных бэкдора были связаны с APT MuddyWater:
1. Первый кастомный троянец-бэкдор использует облачный сервис для хранения всех данных, связанных с APT-атакой MuddyWater.
2. Второй нестандартный троянец-бэкдор основан на .NET и запускает PowerShell в рамках своей кампании.
3. Третий специальный бэкдор, связанный с APT-атакой MuddyWater, основан на Delphi и предназначен для сбора системной информации жертвы.
Как только устройство жертвы будет скомпрометировано, APT «MuddyWater» будет использовать известное вредоносное ПО и инструменты для захвата зараженного компьютера и сбора необходимых данных. Преступники, участвующие в APT-атаках MuddyWater, не безошибочны. Есть случаи неаккуратного кода и утечки данных, которые позволили им узнать больше о личности злоумышленников APT «MuddyWater».
