'Çamurlu Su' APT

'MuddyWater' APT, İran merkezli görünen bir suç grubudur. APT, PC güvenlik araştırmacıları tarafından bu tür suç gruplarına atıfta bulunmak için kullanılan bir terim olan “Gelişmiş Kalıcı Tehdit” anlamına gelir. 'MuddyWater' APT ile bağlantılı kötü amaçlı yazılımın ekran görüntüleri, konumlarının İran'da olduğunu ve muhtemelen hükümetleri tarafından desteklendiğini gösteriyor. 'MuddyWater' APT'nin ana faaliyetleri Orta Doğu'daki diğer ülkelere yönelik görünüyor. 'MuddyWater' APT saldırıları büyükelçilikleri, diplomatları ve hükümet yetkililerini hedef aldı ve onlara sosyopolitik bir avantaj sağlamaya odaklanmış olabilir. Geçmişteki 'MuddyWater' APT saldırıları telekomünikasyon şirketlerini de hedef aldı. 'MuddyWater' APT ayrıca sahte bayrak saldırılarıyla ilişkilendirilmiştir. Bunlar, sanki farklı bir aktör gerçekleştirmiş gibi görünmek için tasarlanmış saldırılardır. Geçmişteki 'MuddyWater' APT sahte bayrak saldırıları İsrail, Çin, Rusya ve diğer ülkelerin kimliğine bürünerek, genellikle kurban ve taklit edilen taraf arasında huzursuzluk veya çatışmaya neden olma girişiminde bulundu.

'MuddyWater' APT Grubu ile İlişkili Saldırı Taktikleri

'MuddyWater' APT ile ilişkili saldırılar, hedef odaklı kimlik avı e-postalarını ve kurbanlarını tehlikeye atmak için sıfır gün güvenlik açıklarından yararlanmayı içerir. 'MuddyWater' APT en az 30 farklı IP adresiyle bağlantılıdır. Ayrıca verilerini, WordPress için bozuk eklentilerin proxy yüklemelerine izin verdiği, güvenliği ihlal edilmiş dört binden fazla sunucu üzerinden yönlendirecekler. Bugüne kadar en az elli kuruluş ve 1600'den fazla kişi 'MuddyWater' APT ile bağlantılı saldırıların kurbanı oldu. En son 'MuddyWater' APT saldırıları, Android cihaz kullanıcılarını hedef alıyor ve mobil cihazlarına sızma girişiminde bulunan kurbanlara kötü amaçlı yazılım dağıtıyor. Devlet destekli bu grubun hedeflerinin yüksek profilli olması nedeniyle, çoğu bireysel bilgisayar kullanıcısının kendilerini bir 'MuddyWater' APT saldırısı tarafından tehlikeye atılmış bulması pek olası değildir. Bununla birlikte, bilgisayar kullanıcılarını 'MuddyWater' APT'leri gibi saldırılara karşı korumaya yardımcı olabilecek önlemler, güçlü güvenlik yazılımlarının kullanımı, en son güvenlik yamalarının yüklenmesi ve şüpheli çevrimiçi içerikten kaçınma dahil olmak üzere çoğu kötü amaçlı yazılım ve suç grubu için geçerli olan önlemlerle aynıdır. ve e-posta ekleri.

'MuddyWater' APT ile Bağlantılı Android Saldırıları

'MuddyWater' APT tarafından kullanılan en son saldırı araçlarından biri, bir Android kötü amaçlı yazılım tehdididir. PC güvenlik araştırmacıları, bu Android kötü amaçlı yazılımının, ikisi Aralık 2017'de oluşturulmuş tamamlanmamış sürümler gibi görünen üç örneğini bildirdi. 'MuddyWater' APT'yi içeren en son saldırı, Türkiye'de güvenliği ihlal edilmiş bir web sitesi kullanılarak yapıldı. Bu 'MuddyWater' APT saldırısının kurbanları Afganistan'da bulunuyordu. Çoğu 'MuddyWater' APT casusluk saldırısı gibi, bu enfeksiyonun amacı da kurbanın kişilerine, arama geçmişine ve metin mesajlarına erişim sağlamanın yanı sıra virüslü cihazdaki GPS bilgilerine erişmekti. Bu bilgiler daha sonra mağdura zarar vermek veya çok çeşitli şekillerde kâr etmek için kullanılabilir. 'MuddyWater' APT saldırılarıyla ilişkili diğer araçlar, özel arka kapı Truva atlarını içerir. 'MuddyWater' APT'ye üç farklı özel arka kapı bağlanmıştır:

1. İlk özel arka kapı Truva Atı, 'MuddyWater' APT saldırısıyla ilişkili tüm verileri depolamak için bir bulut hizmeti kullanır.
2. İkinci özel arka kapı Truva Atı, .NET'e dayalıdır ve kampanyasının bir parçası olarak PowerShell'i çalıştırır.
3. 'MuddyWater' APT saldırısıyla ilişkili üçüncü özel arka kapı Delphi'ye dayalıdır ve kurbanın sistem bilgilerini toplamak için tasarlanmıştır.

Kurbanın cihazının güvenliği ihlal edildiğinde, 'MuddyWater' APT, virüslü bilgisayarı ele geçirmek ve ihtiyaç duydukları verileri toplamak için bilinen kötü amaçlı yazılımları ve araçları kullanır. 'MuddyWater' APT saldırılarının parçası olan suçlular yanılmaz değildir. 'MuddyWater' APT saldırganlarının kimliği hakkında daha fazla şey belirlemelerine izin veren özensiz kod örnekleri ve sızdırılmış veriler var.