'MuddyWater' APT
'MuddyWater' APT är en kriminell grupp som verkar vara baserad i Iran. APT står för "Advanced Persistent Threat", en term som används av PC-säkerhetsforskare för att referera till den här typen av kriminella grupper. Skärmdumpar från skadlig programvara kopplad till 'MuddyWater' APT pekar på att deras plats är baserad i Iran och möjligen sponsrad av deras regering. 'MuddyWater' APT:s huvudsakliga verksamhet verkar riktas mot andra länder i Mellanöstern. "MuddyWater" APT-attackerna har riktats mot ambassader, diplomater och regeringstjänstemän och kan vara fokuserade på att ge dem en sociopolitisk fördel. "MuddyWater" APT-attackerna i det förflutna har också riktat sig mot telekommunikationsföretag. 'MuddyWater' APT har också associerats med falsk flaggattacker. Det här är attacker som är utformade för att se ut som om en annan aktör har utfört dem. "MuddyWater" APT falsk flaggattacker i det förflutna har imiterat Israel, Kina, Ryssland och andra länder, ofta i ett försök att orsaka oroligheter eller konflikter mellan offret och den efterliknade parten.
Attacktaktik associerad med 'MuddyWater' APT-gruppen
Attackerna förknippade med 'MuddyWater' APT inkluderar nätfiske-e-postmeddelanden från spjut och utnyttjande av nolldagssårbarheter för att äventyra sina offer. 'MuddyWater' APT är länkad till minst 30 olika IP-adresser. De kommer också att dirigera sina data genom mer än fyra tusen komprometterade servrar, där korrupta plugins för WordPress har gjort det möjligt för dem att installera proxyservrar. Hittills har minst femtio organisationer och mer än 1600 individer blivit offer för attacker kopplade till 'MuddyWater' APT. De senaste "MuddyWater" APT-attackerna är inriktade på användare av Android-enheter och levererar skadlig programvara till offer i ett försök att infiltrera deras mobila enheter. På grund av den höga profilen av målen för denna statligt sponsrade grupp, är det osannolikt att de flesta enskilda datoranvändare kommer att bli utsatta för en "MuddyWater" APT-attack. Åtgärderna som kan hjälpa till att hålla datoranvändare säkra från attacker som "MuddyWater" APT är desamma som gäller för de flesta skadliga program och kriminella grupper, inklusive användning av stark säkerhetsprogramvara, installation av de senaste säkerhetskorrigeringarna och undvikande av tvivelaktigt onlineinnehåll och e-postbilagor.
Android-attacker kopplade till 'MuddyWater' APT
Ett av de senaste attackverktygen som används av 'MuddyWater' APT är ett hot mot skadlig programvara för Android. PC-säkerhetsforskare har rapporterat tre prover av denna Android-skadlig programvara, varav två verkar vara ofullbordade versioner som skapades i december 2017. Den senaste attacken som involverade 'MuddyWater' APT avbröts med hjälp av en komprometterad webbplats i Turkiet. Offren för denna "MuddyWater" APT-attack var lokaliserade i Afghanistan. Liksom de flesta "MuddyWater" APT-spionageattacker, var syftet med denna infektion att få tillgång till offrets kontakter, samtalshistorik och textmeddelanden, samt att komma åt GPS-information på den infekterade enheten. Denna information kan sedan användas för att skada offret eller vinst på en mängd olika sätt. Andra verktyg associerade med "MuddyWater" APT-attackerna inkluderar anpassade bakdörrstrojaner. Tre distinkta anpassade bakdörrar har kopplats till "MuddyWater" APT:
1. Den första anpassade bakdörrstrojanen använder en molntjänst för att lagra all data som är associerad med 'MuddyWater' APT-attacken.
2. Den andra anpassade bakdörrstrojanen är baserad på .NET och kör PowerShell som en del av sin kampanj.
3. Den tredje anpassade bakdörren associerad med 'MuddyWater' APT-attacken är baserad på Delphi och är utformad för att samla in offrets systeminformation.
När offrets enhet har äventyrats kommer 'MuddyWater' APT att använda känd skadlig programvara och verktyg för att ta över den infekterade datorn och samla in den data de behöver. De brottslingar som är en del av "MuddyWater" APT-attackerna är inte ofelbara. Det finns fall av slarvig kod och läckt data som har gjort det möjligt för dem att avgöra mer om identiteten på "MuddyWater" APT-angriparna.
