'MuddyWater' APT

APT 'MuddyWater' je kriminalna združba, ki ima sedež v Iranu. APT je kratica za "Advanced Persistent Threat", izraz, ki ga uporabljajo raziskovalci varnosti osebnih računalnikov za označevanje tovrstnih kriminalnih skupin. Posnetki zaslona zlonamerne programske opreme, povezane z APT 'MuddyWater', kažejo, da ima njihova lokacija sedež v Iranu in da jo verjetno sponzorira njihova vlada. Zdi se, da so glavne dejavnosti 'MuddyWater' APT usmerjene v druge države na Bližnjem vzhodu. Napadi APT 'MuddyWater' so ciljali na veleposlaništva, diplomate in vladne uradnike in so lahko osredotočeni na zagotavljanje družbenopolitične prednosti. Napadi APT 'MuddyWater' so v preteklosti ciljali tudi na telekomunikacijska podjetja. APT 'MuddyWater' je bil prav tako povezan z napadi z lažno zastavo. To so napadi, ki so zasnovani tako, da izgledajo, kot da jih je izvedel drug akter. Napadi APT z lažno zastavo 'MuddyWater' so v preteklosti predstavljali Izrael, Kitajsko, Rusijo in druge države, pogosto v poskusu povzročitve nemirov ali konfliktov med žrtev in lažno stranko.

Taktike napada, povezane s skupino APT 'MuddyWater'

Napadi, povezani z 'MuddyWater' APT, vključujejo e-poštna sporočila z lažnim predstavljanjem in izkoriščanje ranljivosti ničelnega dne za ogrožanje njihovih žrtev. APT 'MuddyWater' je povezan z vsaj 30 različnimi naslovi IP. Svoje podatke bodo usmerili tudi prek več kot štiri tisoč ogroženih strežnikov, kjer so jim poškodovani vtičniki za WordPress omogočili namestitev proxyjev. Do danes je bilo najmanj petdeset organizacij in več kot 1600 posameznikov žrtev napadov, povezanih z 'MuddyWater' APT. Najnovejši napadi APT 'MuddyWater' so usmerjeni na uporabnike naprav Android in žrtvam dostavljajo zlonamerno programsko opremo, da bi se infiltrirali v njihove mobilne naprave. Zaradi odmevnih ciljev te skupine, ki jo sponzorira država, je malo verjetno, da bo večina posameznih uporabnikov računalnikov ogrožena z napadom APT 'MuddyWater'. Vendar pa so ukrepi, ki lahko pomagajo zaščititi uporabnike računalnikov pred napadi, kot so APT 'MuddyWater', enaki, kot veljajo za večino zlonamerne programske opreme in kriminalnih skupin, vključno z uporabo močne varnostne programske opreme, namestitvijo najnovejših varnostnih popravkov in izogibanjem vprašljivi spletni vsebini. in priloge e-pošte.

Napadi na Android, povezani z 'MuddyWater' APT

Eno najnovejših orodij za napade, ki jih uporablja 'MuddyWater' APT, je grožnja z zlonamerno programsko opremo za Android. Raziskovalci za varnost osebnih računalnikov so poročali o treh vzorcih te zlonamerne programske opreme Android, od katerih se zdita dve nedokončani različici, ki sta bili ustvarjeni decembra 2017. Najnovejši napad, ki je vključeval 'MuddyWater' APT, je bil opuščen z uporabo ogroženega spletnega mesta v Turčiji. Žrtve tega napada APT 'MuddyWater' so se nahajale v Afganistanu. Kot večina vohunskih napadov 'MuddyWater' APT je bil namen te okužbe pridobiti dostop do žrtvinih stikov, zgodovine klicev in besedilnih sporočil ter dostopati do informacij GPS na okuženi napravi. Te informacije se lahko nato uporabijo za škodo žrtvi ali dobiček na najrazličnejše načine. Druga orodja, povezana z napadi APT 'MuddyWater', vključujejo trojanske zaledne programe po meri. Z APT 'MuddyWater' so povezana tri različna zaledja po meri:

1. Prvi backdoor trojanec po meri uporablja storitev v oblaku za shranjevanje vseh podatkov, povezanih z napadom APT 'MuddyWater'.
2. Drugi backdoor trojanec po meri temelji na .NET in poganja PowerShell kot del svoje kampanje.
3. Tretja stranska vrata po meri, povezana z napadom APT 'MuddyWater', temelji na Delphiju in je zasnovana za zbiranje sistemskih informacij žrtve.

Ko je naprava žrtve ogrožena, bo 'MuddyWater' APT uporabil znano zlonamerno programsko opremo in orodja za prevzem okuženega računalnika in zbiranje podatkov, ki jih potrebuje. Zločinci, ki so del napadov APT 'MuddyWater', niso nezmotljivi. Obstajajo primeri površne kode in izteklih podatkov, ki so jim omogočili, da ugotovijo več o identiteti napadalcev APT 'MuddyWater'.