'浑水' APT

'MuddyWater' APT 是一个总部设在伊朗的犯罪集团。 APT 代表“高级持续威胁”，这是 PC 安全研究人员用来指代这类犯罪集团的术语。与“MuddyWater”APT 相关的恶意软件的屏幕截图表明，它们的位置位于伊朗，并且可能由其政府赞助。 'MuddyWater' APT 的主要活动似乎指向中东其他国家。 “MuddyWater”APT 攻击的目标是大使馆、外交官和政府官员，可能侧重于为他们提供社会政治优势。过去的“MuddyWater”APT 攻击也针对电信公司。 “MuddyWater” APT 也与虚假标志攻击有关。这些攻击旨在看起来好像是由不同的参与者执行的。过去的“MuddyWater”APT 假旗攻击曾冒充以色列、中国、俄罗斯和其他国家，通常是为了在受害者和被冒充方之间引发骚乱或冲突。

与“MuddyWater”APT 集团相关的攻击策略

与“MuddyWater”APT 相关的攻击包括鱼叉式网络钓鱼电子邮件和利用零日漏洞危害受害者的攻击。 'MuddyWater' APT 链接了至少 30 个不同的 IP 地址。他们还将通过 4000 多台受感染的服务器路由他们的数据，其中损坏的 WordPress 插件允许他们安装代理。迄今为止，至少有 50 个组织和 1600 多名个人成为与“MuddyWater”APT 相关的攻击的受害者。最近的“MuddyWater”APT 攻击针对 Android 设备用户，向受害者提供恶意软件，企图渗透到他们的移动设备中。由于这个由国家资助的团体的高调目标，大多数个人计算机用户不太可能发现自己受到“MuddyWater”APT 攻击的危害。但是，有助于保护计算机用户免受诸如“MuddyWater”APT 等攻击的措施与适用于大多数恶意软件和犯罪集团的措施相同，包括使用强大的安全软件、安装最新的安全补丁以及避免有问题的在线内容和电子邮件附件。

与“MuddyWater”APT 相关的 Android 攻击

“MuddyWater” APT 使用的最新攻击工具之一是 Android 恶意软件威胁。 PC 安全研究人员报告了该 Android 恶意软件的三个样本，其中两个似乎是 2017 年 12 月创建的未完成版本。最近一次涉及“MuddyWater”APT 的攻击是使用土耳其的一个受感染网站删除的。这次“MuddyWater”APT 攻击的受害者位于阿富汗。与大多数“MuddyWater”APT 间谍攻击一样，这种感染的目的是获取受害者的联系人、通话记录和短信，以及访问受感染设备上的 GPS 信息。然后，此信息可用于伤害受害者或以多种方式获利。与“MuddyWater”APT 攻击相关的其他工具包括自定义后门木马。三个不同的自定义后门已与“MuddyWater”APT 相关联：

1. 第一个自定义后门木马使用云服务存储与“MuddyWater”APT 攻击相关的所有数据。
2. 第二个自定义后门木马基于 .NET，并在其活动中运行 PowerShell。
3. 与“MuddyWater”APT 攻击相关的第三个自定义后门基于 Delphi，旨在收集受害者的系统信息。

一旦受害者的设备遭到入侵，“MuddyWater”APT 将使用已知的恶意软件和工具来接管受感染的计算机并收集他们需要的数据。参与“MuddyWater”APT 攻击的犯罪分子并非万无一失。有一些草率的代码和泄露数据的实例使他们能够更多地确定“MuddyWater”APT 攻击者的身份。