'MuddyWater' APT

APT 'MuddyWater' เป็นกลุ่มอาชญากรที่ดูเหมือนว่าจะตั้งอยู่ในอิหร่าน APT ย่อมาจาก "Advanced Persistent Threat" ซึ่งเป็นคำที่นักวิจัยด้านความปลอดภัยของพีซีใช้เพื่ออ้างถึงกลุ่มอาชญากรประเภทนี้ ภาพหน้าจอจากมัลแวร์ที่เชื่อมโยงกับ APT 'MuddyWater' ชี้ว่าสถานที่ตั้งของพวกเขาอยู่ในอิหร่าน และอาจได้รับการสนับสนุนจากรัฐบาลของพวกเขา กิจกรรมหลักของ APT 'MuddyWater' ดูเหมือนจะชี้ไปยังประเทศอื่นๆ ในตะวันออกกลาง การโจมตี APT ของ 'MuddyWater' มุ่งเป้าไปที่สถานทูต นักการทูต และเจ้าหน้าที่ของรัฐ และอาจมุ่งเน้นที่การมอบความได้เปรียบทางการเมืองให้กับพวกเขา การโจมตี APT 'MuddyWater' ในอดีตได้กำหนดเป้าหมายไปยังบริษัทโทรคมนาคมด้วยเช่นกัน APT 'MuddyWater' ยังเกี่ยวข้องกับการโจมตีด้วยธงปลอม สิ่งเหล่านี้คือการโจมตีที่ออกแบบมาให้ดูเหมือนกับว่ามีผู้กระทำผิดคนละคน ในอดีต การโจมตีด้วยธงปลอมของ APT 'MuddyWater' ได้แอบอ้างเป็นอิสราเอล จีน รัสเซีย และประเทศอื่นๆ บ่อยครั้งในความพยายามที่จะก่อให้เกิดความไม่สงบหรือความขัดแย้งระหว่างเหยื่อและบุคคลที่แอบอ้าง

กลยุทธ์การโจมตีที่เกี่ยวข้องกับกลุ่ม APT 'MuddyWater'

การโจมตีที่เกี่ยวข้องกับ APT 'MuddyWater' รวมถึงอีเมลฟิชชิ่ง spear และการใช้ประโยชน์จากช่องโหว่ zero day เพื่อประนีประนอมกับเหยื่อ APT 'MuddyWater' เชื่อมโยงที่อยู่ IP ที่แตกต่างกันอย่างน้อย 30 แห่ง พวกเขายังจะกำหนดเส้นทางข้อมูลของพวกเขาผ่านเซิร์ฟเวอร์มากกว่าสี่พันเซิร์ฟเวอร์ที่ถูกบุกรุก โดยที่ปลั๊กอินที่เสียหายสำหรับ WordPress ได้อนุญาตให้พวกเขาติดตั้งพร็อกซี่ จนถึงปัจจุบัน องค์กรอย่างน้อย 50 แห่งและบุคคลมากกว่า 1,600 คนตกเป็นเหยื่อของการโจมตีที่เชื่อมโยงกับ APT 'MuddyWater' การโจมตี APT 'MuddyWater' ล่าสุดมุ่งเป้าไปที่ผู้ใช้อุปกรณ์ Android โดยส่งมัลแวร์ไปยังเหยื่อเพื่อพยายามแทรกซึมอุปกรณ์มือถือของพวกเขา เนื่องจากเป้าหมายระดับสูงของกลุ่มที่ได้รับการสนับสนุนจากรัฐนี้ จึงไม่น่าเป็นไปได้ที่ผู้ใช้คอมพิวเตอร์ส่วนบุคคลส่วนใหญ่จะพบว่าตนเองถูกโจมตีโดยการโจมตี APT 'MuddyWater' อย่างไรก็ตาม มาตรการที่สามารถช่วยให้ผู้ใช้คอมพิวเตอร์ปลอดภัยจากการโจมตี เช่น APT ของ 'MuddyWater' จะเหมือนกันกับมัลแวร์และกลุ่มอาชญากรส่วนใหญ่ รวมถึงการใช้ซอฟต์แวร์รักษาความปลอดภัยที่เข้มงวด การติดตั้งแพตช์ความปลอดภัยล่าสุด และการหลีกเลี่ยงเนื้อหาออนไลน์ที่น่าสงสัย และไฟล์แนบอีเมล

การโจมตีของ Android ที่เชื่อมโยงกับ 'MuddyWater' APT

หนึ่งในเครื่องมือโจมตีล่าสุดที่ใช้โดย APT 'MuddyWater' คือภัยคุกคามจากมัลแวร์ Android นักวิจัยด้านความปลอดภัยของพีซีได้รายงานตัวอย่างมัลแวร์ Android นี้สามตัวอย่าง ซึ่ง 2 ตัวอย่างดูเหมือนจะเป็นเวอร์ชันที่ยังไม่เสร็จสมบูรณ์ซึ่งสร้างขึ้นในเดือนธันวาคมปี 2017 การโจมตีครั้งล่าสุดที่เกี่ยวข้องกับ APT 'MuddyWater' ถูกทิ้งโดยใช้เว็บไซต์ที่ถูกบุกรุกในตุรกี เหยื่อของการโจมตี APT 'MuddyWater' นี้อยู่ในอัฟกานิสถาน เช่นเดียวกับการโจมตีจารกรรม APT 'MuddyWater' ส่วนใหญ่ จุดประสงค์ของการติดเชื้อนี้คือเพื่อเข้าถึงรายชื่อผู้ติดต่อ ประวัติการโทร และข้อความตัวอักษรของเหยื่อ ตลอดจนการเข้าถึงข้อมูล GPS บนอุปกรณ์ที่ติดเชื้อ ข้อมูลนี้สามารถใช้เพื่อทำร้ายเหยื่อหรือผลกำไรได้หลายวิธี เครื่องมืออื่นๆ ที่เกี่ยวข้องกับการโจมตี APT 'MuddyWater' รวมถึงโทรจันแบ็คดอร์แบบกำหนดเอง แบ็คดอร์แบบกำหนดเองที่แตกต่างกันสามแบบเชื่อมโยงกับ APT 'MuddyWater':

1. โทรจันแบ็คดอร์แบบกำหนดเองตัวแรกใช้บริการคลาวด์เพื่อจัดเก็บข้อมูลทั้งหมดที่เกี่ยวข้องกับการโจมตี APT 'MuddyWater'
2. โทรจันแบ็คดอร์แบบกำหนดเองตัวที่สองนั้นใช้ .NET และรัน PowerShell โดยเป็นส่วนหนึ่งของแคมเปญ
3. แบ็คดอร์แบบกำหนดเองที่สามที่เกี่ยวข้องกับการโจมตี APT 'MuddyWater' อิงจาก Delphi และออกแบบมาเพื่อรวบรวมข้อมูลระบบของเหยื่อ

เมื่ออุปกรณ์ของเหยื่อถูกบุกรุก APT 'MuddyWater' จะใช้มัลแวร์และเครื่องมือที่รู้จักเพื่อเข้าควบคุมคอมพิวเตอร์ที่ติดไวรัสและรวบรวมข้อมูลที่ต้องการ อาชญากรที่เป็นส่วนหนึ่งของการโจมตี APT 'MuddyWater' นั้นไม่มีข้อผิดพลาด มีโค้ดที่ไม่เป็นระเบียบและข้อมูลรั่วไหลซึ่งทำให้พวกเขาสามารถระบุตัวตนของผู้โจมตี APT 'MuddyWater' ได้มากขึ้น