'MuddyWater' APT
„MuddyWater“ APT je zločinecká skupina, ktorá zrejme sídli v Iráne. APT je skratka pre „Advanced Persistent Threat“, termín používaný výskumníkmi v oblasti PC bezpečnosti na označenie týchto druhov zločineckých skupín. Screenshoty z malvéru spojeného s 'MuddyWater' APT poukazujú na to, že ich umiestnenie sa nachádza v Iráne a môže byť sponzorované ich vládou. Zdá sa, že hlavné aktivity APT „MuddyWater“ sú zamerané na iné krajiny na Blízkom východe. Útoky APT „MuddyWater“ sa zamerali na veľvyslanectvá, diplomatov a vládnych úradníkov a môžu byť zamerané na to, aby im poskytli spoločensko-politickú výhodu. Útoky APT „MuddyWater“ sa v minulosti zamerali aj na telekomunikačné spoločnosti. 'MuddyWater' APT bol tiež spájaný s útokmi pod falošnou vlajkou. Ide o útoky, ktoré sú navrhnuté tak, aby vyzerali, akoby ich vykonal iný aktér. Útoky APT pod falošnou vlajkou „MuddyWater“ sa v minulosti vydávali za Izrael, Čínu, Rusko a ďalšie krajiny, často v snahe vyvolať nepokoje alebo konflikty medzi obeťou a stranou, za ktorú sa vydávali.
Útočná taktika spojená so skupinou 'MuddyWater' APT
Útoky spojené s 'MuddyWater' APT zahŕňajú spear phishing e-maily a zneužívanie zero day zraniteľností na kompromitáciu ich obetí. 'MuddyWater' APT je prepojených najmenej 30 rôznych IP adries. Taktiež budú smerovať svoje dáta cez viac ako štyri tisícky napadnutých serverov, kde im poškodené pluginy pre WordPress umožnili inštalovať proxy. K dnešnému dňu sa obeťami útokov spojených s 'MuddyWater' APT stalo najmenej päťdesiat organizácií a viac ako 1600 jednotlivcov. Najnovšie útoky APT „MuddyWater“ sa zameriavajú na používateľov zariadení so systémom Android, pričom obetiam prinášajú malvér v snahe infiltrovať ich mobilné zariadenia. Vzhľadom na vysoký profil cieľov tejto štátom sponzorovanej skupiny je nepravdepodobné, že väčšina jednotlivých používateľov počítačov sa ocitne ohrozená útokom APT „MuddyWater“. Opatrenia, ktoré môžu pomôcť ochrániť používateľov počítačov pred útokmi, ako sú APT „MuddyWater“, sú však rovnaké, aké platia pre väčšinu malvérových a zločineckých skupín, vrátane použitia silného bezpečnostného softvéru, inštalácie najnovších bezpečnostných záplat a vyhýbania sa pochybnému online obsahu. a e-mailové prílohy.
Android Attacks Prepojené s 'MuddyWater' APT
Jedným z najnovších útočných nástrojov, ktoré používa 'MuddyWater' APT, je hrozba škodlivého softvéru pre Android. Výskumníci v oblasti počítačovej bezpečnosti nahlásili tri vzorky tohto škodlivého softvéru pre Android, z ktorých dve sa zdajú byť nedokončené verzie, ktoré boli vytvorené v decembri 2017. Najnovší útok zahŕňajúci 'MuddyWater' APT bol zrušený pomocou napadnutej webovej stránky v Turecku. Obete tohto útoku APT „MuddyWater“ sa nachádzali v Afganistane. Ako väčšina špionážnych útokov APT „MuddyWater“, cieľom tejto infekcie bolo získať prístup ku kontaktom obete, histórii hovorov a textovým správam, ako aj získať prístup k informáciám GPS na infikovanom zariadení. Tieto informácie sa potom môžu použiť na poškodenie obete alebo zisk rôznymi spôsobmi. Medzi ďalšie nástroje spojené s útokmi APT „MuddyWater“ patria vlastné trójske kone typu backdoor. K APT „MuddyWater“ boli prepojené tri odlišné vlastné zadné vrátka:
1. Prvý vlastný backdoor trójsky kôň používa cloudovú službu na ukladanie všetkých údajov spojených s útokom APT „MuddyWater“.
2. Druhý vlastný backdoor trójsky kôň je založený na .NET a beží PowerShell ako súčasť svojej kampane.
3. Tretie vlastné zadné vrátka spojené s útokom APT „MuddyWater“ je založené na Delphi a je určené na zhromažďovanie systémových informácií obete.
Akonáhle bolo napadnuté zariadenie obete, 'MuddyWater' APT použije známy malvér a nástroje na prevzatie infikovaného počítača a zhromaždenie údajov, ktoré potrebuje. Zločinci, ktorí sú súčasťou útokov APT „MuddyWater“, nie sú neomylní. Existujú prípady nedbalého kódu a uniknutých údajov, ktoré im umožnili zistiť viac o identite útočníkov APT „MuddyWater“.