'MuddyWater' APT
Ang 'MuddyWater' APT ay isang grupong kriminal na tila nakabase sa Iran. Ang APT ay nangangahulugang "Advanced Persistent Threat", isang terminong ginamit ng mga mananaliksik sa seguridad ng PC upang tukuyin ang mga ganitong uri ng mga kriminal na grupo. Ang mga screenshot mula sa malware na naka-link sa 'MuddyWater' APT ay tumutukoy sa kanilang lokasyon na nakabase sa Iran, at posibleng ini-sponsor ng kanilang pamahalaan. Ang mga pangunahing aktibidad ng 'MuddyWater' APT ay tila nakatutok sa ibang mga bansa sa Gitnang Silangan. Ang 'MuddyWater' na pag-atake ng APT ay naka-target sa mga embahada, diplomat, at opisyal ng gobyerno at maaaring nakatutok sa pagbibigay sa kanila ng isang sociopolitical na kalamangan. Ang 'MuddyWater' na pag-atake ng APT sa nakaraan ay naka-target din sa mga kumpanya ng telekomunikasyon. Ang 'MuddyWater' APT ay naiugnay din sa mga maling pag-atake sa bandila. Ito ay mga pag-atake na idinisenyo upang magmukhang ibang aktor ang nagsagawa ng mga ito. Ang 'MuddyWater' APT false flag attacks sa nakaraan ay nagpapanggap na Israel, China, Russia, at iba pang mga bansa, kadalasan sa pagtatangkang magdulot ng kaguluhan o salungatan sa pagitan ng biktima at ng ginayang partido.
Mga Taktika sa Pag-atake na Kaugnay ng 'MuddyWater' APT Group
Kasama sa mga pag-atake na nauugnay sa 'MuddyWater' APT ang mga email ng spear phishing at ang pagsasamantala ng mga kahinaan sa zero araw upang ikompromiso ang kanilang mga biktima. Ang 'MuddyWater' APT ay naka-link ng hindi bababa sa 30 natatanging IP address. Dadalhin din nila ang kanilang data sa higit sa apat na libong nakompromisong server, kung saan pinahintulutan sila ng mga sirang plugin para sa WordPress na mag-install ng mga proxy. Sa ngayon, hindi bababa sa limampung organisasyon at higit sa 1600 indibidwal ang naging biktima ng mga pag-atake na nauugnay sa 'MuddyWater' APT. Ang pinakahuling pag-atake ng 'MuddyWater' na APT ay nagta-target sa mga user ng Android device, na naghahatid ng malware sa mga biktima sa pagtatangkang makalusot sa kanilang mga mobile device. Dahil sa mataas na profile ng mga target ng grupong ito na inisponsor ng estado, malamang na hindi mahahanap ng karamihan sa mga indibidwal na gumagamit ng computer ang kanilang sarili na nakompromiso ng isang 'MuddyWater' APT attack. Gayunpaman, ang mga hakbang na makakatulong na panatilihing ligtas ang mga user ng computer mula sa mga pag-atake tulad ng 'MuddyWater' APT's ay pareho na nalalapat sa karamihan ng malware at kriminal na grupo, kabilang ang paggamit ng malakas na software ng seguridad, pag-install ng pinakabagong mga patch ng seguridad, at pag-iwas sa mga kaduda-dudang online na content. at mga attachment sa email.
Mga Pag-atake ng Android na Naka-link sa 'MuddyWater' APT
Ang isa sa mga pinakabagong tool sa pag-atake na ginagamit ng 'MuddyWater' APT ay isang banta ng malware sa Android. Ang mga mananaliksik sa seguridad ng PC ay nag-ulat ng tatlong sample ng Android malware na ito, dalawa sa mga ito ay tila mga hindi pa nakumpletong bersyon na ginawa noong Disyembre ng 2017. Ang pinakahuling pag-atake na kinasasangkutan ng 'MuddyWater' APT ay ibinaba gamit ang isang nakompromisong website sa Turkey. Ang mga biktima ng 'MuddyWater' APT attack na ito ay matatagpuan sa Afghanistan. Tulad ng karamihan sa mga pag-atake ng espionage ng 'MuddyWater' APT, ang layunin ng impeksyong ito ay upang makakuha ng access sa mga contact, history ng tawag, at mga text message ng biktima, gayundin upang ma-access ang impormasyon ng GPS sa nahawaang device. Ang impormasyong ito ay maaaring gamitin upang saktan ang biktima o kumita sa iba't ibang paraan. Ang iba pang mga tool na nauugnay sa 'MuddyWater' na pag-atake ng APT ay kinabibilangan ng mga custom na backdoor Trojan. Tatlong natatanging custom na backdoors ang na-link sa 'MuddyWater' APT:
1. Ang unang custom na backdoor Trojan ay gumagamit ng cloud service para sa pag-iimbak ng lahat ng data na nauugnay sa 'MuddyWater' APT attack.
2. Ang pangalawang custom backdoor Trojan ay batay sa .NET at nagpapatakbo ng PowerShell bilang bahagi ng kampanya nito.
3. Ang ikatlong custom na backdoor na nauugnay sa 'MuddyWater' APT attack ay batay sa Delphi at idinisenyo upang kolektahin ang impormasyon ng system ng biktima.
Kapag nakompromiso na ang device ng biktima, gagamit ang 'MuddyWater' APT ng kilalang malware at mga tool para sakupin ang infected na computer at kolektahin ang data na kailangan nila. Ang mga kriminal na bahagi ng 'MuddyWater' na pag-atake ng APT ay hindi nagkakamali. May mga pagkakataon ng sloppy code at leaked data na nagbigay-daan sa kanila na matukoy ang higit pa tungkol sa pagkakakilanlan ng 'MuddyWater' APT attackers.
