'渾水' APT

'MuddyWater' APT 是一個總部設在伊朗的犯罪集團。 APT 代表“高級持續威脅”，這是 PC 安全研究人員用來指代這類犯罪集團的術語。與“MuddyWater”APT 相關的惡意軟件的屏幕截圖表明，它們的位置位於伊朗，並且可能由其政府贊助。 'MuddyWater' APT 的主要活動似乎指向中東其他國家。 “MuddyWater”APT 攻擊的目標是大使館、外交官和政府官員，可能側重於為他們提供社會政治優勢。過去的“MuddyWater”APT 攻擊也針對電信公司。 “MuddyWater” APT 也與虛假標誌攻擊有關。這些攻擊旨在看起來好像是由不同的參與者執行的。過去的“MuddyWater”APT 假旗攻擊曾冒充以色列、中國、俄羅斯和其他國家，通常是為了在受害者和被冒充方之間引發騷亂或衝突。

與“MuddyWater”APT 集團相關的攻擊策略

與“MuddyWater”APT 相關的攻擊包括魚叉式網絡釣魚電子郵件和利用零日漏洞危害受害者的攻擊。 'MuddyWater' APT 鏈接了至少 30 個不同的 IP 地址。他們還將通過 4000 多台受感染的服務器路由他們的數據，其中損壞的 WordPress 插件允許他們安裝代理。迄今為止，至少有 50 個組織和 1600 多名個人成為與“MuddyWater”APT 相關的攻擊的受害者。最近的“MuddyWater”APT 攻擊針對 Android 設備用戶，向受害者提供惡意軟件，企圖滲透到他們的移動設備中。由於這個國家資助的團體的目標高調，大多數個人計算機用戶不太可能發現自己受到“MuddyWater”APT 攻擊的危害。但是，有助於保護計算機用戶免受諸如“MuddyWater”APT 等攻擊的措施與適用於大多數惡意軟件和犯罪集團的措施相同，包括使用強大的安全軟件、安裝最新的安全補丁以及避免有問題的在線內容和電子郵件附件。

與“MuddyWater”APT 相關的 Android 攻擊

“MuddyWater” APT 使用的最新攻擊工具之一是 Android 惡意軟件威脅。 PC 安全研究人員報告了該 Android 惡意軟件的三個樣本，其中兩個似乎是 2017 年 12 月創建的未完成版本。最近一次涉及“MuddyWater”APT 的攻擊是使用土耳其的一個受感染網站刪除的。這次“MuddyWater”APT 攻擊的受害者位於阿富汗。與大多數“MuddyWater”APT 間諜攻擊一樣，這種感染的目的是獲取受害者的聯繫人、通話記錄和短信，以及訪問受感染設備上的 GPS 信息。然後，此信息可用於傷害受害者或以多種方式獲利。與“MuddyWater”APT 攻擊相關的其他工具包括自定義後門木馬。三個不同的自定義後門已與“MuddyWater”APT 相關聯：

1. 第一個自定義後門木馬使用雲服務存儲與“MuddyWater”APT 攻擊相關的所有數據。
2. 第二個自定義後門木馬基於 .NET，並在其活動中運行 PowerShell。
3. 與“MuddyWater”APT 攻擊相關的第三個自定義後門基於 Delphi，旨在收集受害者的系統信息。

一旦受害者的設備遭到入侵，“MuddyWater”APT 將使用已知的惡意軟件和工具來接管受感染的計算機並收集他們需要的數據。參與“MuddyWater”APT 攻擊的犯罪分子並非萬無一失。有一些草率的代碼和洩露數據的實例使他們能夠更多地確定“MuddyWater”APT 攻擊者的身份。