АПТ «МуддіВотер».
APT "MuddyWater" - це злочинне угруповання, яке, схоже, базується в Ірані. APT означає «Advanced Persistent Threat», термін, який використовується дослідниками безпеки ПК для позначення подібних злочинних груп. Скріншоти зі зловмисного програмного забезпечення, пов’язаного з 'MuddyWater' APT, вказують на те, що вони розташовані в Ірані і, можливо, спонсоруються їхнім урядом. Здається, основна діяльність APT «MuddyWater» спрямована на інші країни Близького Сходу. Атаки APT «MuddyWater» були спрямовані на посольства, дипломатів та урядовців і можуть бути зосереджені на наданні їм соціально-політичної переваги. Атаки APT «MuddyWater» у минулому також були спрямовані на телекомунікаційні компанії. APT 'MuddyWater' також був пов'язаний з атаками під фальшивим прапором. Це атаки, які мають виглядати так, ніби їх здійснив інший актор. Атаки під фальшивим прапором «MuddyWater» у минулому імітували себе за Ізраїль, Китай, Росію та інші країни, часто намагаючись викликати заворушення або конфлікт між жертвою та стороною, яка видається.
Тактика атаки, пов'язана з групою APT «MuddyWater».
Атаки, пов’язані з APT «MuddyWater», включають фішингові електронні листи та використання вразливостей нульового дня для компрометації їхніх жертв. APT 'MuddyWater' пов'язаний щонайменше з 30 різними IP-адресами. Вони також направлятимуть свої дані через понад чотири тисячі зламаних серверів, де пошкоджені плагіни для WordPress дозволили їм встановлювати проксі. На сьогодні щонайменше п'ятдесят організацій і понад 1600 осіб стали жертвами атак, пов'язаних з APT «MuddyWater». Найновіші атаки APT «MuddyWater» спрямовані на користувачів пристроїв Android, доставляючи зловмисне програмне забезпечення жертвам, намагаючись проникнути на їхні мобільні пристрої. У зв’язку з значущими цілями цієї групи, спонсорованої державою, малоймовірно, що більшість окремих користувачів комп’ютерів виявляться скомпрометованими атакою APT «MuddyWater». Однак заходи, які можуть допомогти убезпечити користувачів комп’ютерів від атак на кшталт 'MuddyWater' APT, є такими ж, що застосовуються до більшості шкідливих програм і злочинних груп, включаючи використання надійного програмного забезпечення безпеки, встановлення останніх виправлень безпеки та уникнення сумнівного вмісту в Інтернеті. та вкладення електронної пошти.
Атаки Android, пов’язані з APT «MuddyWater».
Одним з останніх інструментів для атаки, які використовуються в 'MuddyWater' APT, є загроза шкідливого програмного забезпечення Android. Дослідники з безпеки ПК повідомили про три зразки цього шкідливого програмного забезпечення Android, дві з яких, схоже, є незавершеними версіями, створеними в грудні 2017 року. Остання атака за участю 'MuddyWater' APT була припинена за допомогою зламаного веб-сайту в Туреччині. Жертви цієї атаки APT «MuddyWater» знаходилися в Афганістані. Як і більшість шпигунських атак APT «MuddyWater», метою цієї інфекції було отримати доступ до контактів жертви, історії викликів та текстових повідомлень, а також отримати доступ до інформації GPS на зараженому пристрої. Цю інформацію потім можна використовувати, щоб завдати шкоди жертві або отримати прибуток різними способами. Інші інструменти, пов’язані з атаками APT «MuddyWater», включають спеціальні бекдорні трояни. До APT «MuddyWater» пов’язано три окремі користувацькі бекдори:
1. Перший спеціальний бекдор-троян використовує хмарну службу для зберігання всіх даних, пов’язаних з атакою APT «MuddyWater».
2. Другий спеціальний бекдор-троян заснований на .NET і запускає PowerShell як частину своєї кампанії.
3. Третій спеціальний бекдор, пов'язаний з атакою APT «MuddyWater», заснований на Delphi і призначений для збору системної інформації жертви.
Після того, як пристрій жертви буде скомпрометовано, 'MuddyWater' APT використовуватиме відомі шкідливі програми та інструменти, щоб заволодіти зараженим комп'ютером і збирати необхідні їм дані. Злочинці, які є частиною атак APT «MuddyWater», не є безпомилковими. Існують випадки неохайного коду та витоку даних, які дозволили їм визначити більше про особу зловмисників APT «MuddyWater».