APT "Acqua fangosa".
L'APT "MuddyWater" è un gruppo criminale che sembra avere sede in Iran. APT sta per "Advanced Persistent Threat", un termine usato dai ricercatori sulla sicurezza dei PC per riferirsi a questo tipo di gruppi criminali. Gli screenshot di malware collegati all'APT "MuddyWater" indicano che la loro posizione ha sede in Iran e che potrebbe essere sponsorizzata dal loro governo. Le principali attività dell'APT "MuddyWater" sembrano rivolte ad altri paesi del Medio Oriente. Gli attacchi dell'APT "MuddyWater" hanno preso di mira ambasciate, diplomatici e funzionari governativi e potrebbero essere incentrati sul fornire loro un vantaggio sociopolitico. Gli attacchi APT "MuddyWater" in passato hanno preso di mira anche le società di telecomunicazioni. Anche l'APT "MuddyWater" è stato associato ad attacchi false flag. Si tratta di attacchi progettati per far sembrare che siano stati eseguiti da un attore diverso. Gli attacchi false flag dell'APT "MuddyWater" in passato hanno impersonato Israele, Cina, Russia e altri paesi, spesso nel tentativo di causare disordini o conflitti tra la vittima e la parte impersonata.
Tattiche di attacco associate al gruppo APT "MuddyWater".
Gli attacchi associati all'APT "MuddyWater" includono e-mail di spear phishing e lo sfruttamento di vulnerabilità zero-day per compromettere le loro vittime. L'APT "MuddyWater" è collegato ad almeno 30 indirizzi IP distinti. Inoltre, indirizzeranno i loro dati attraverso più di quattromila server compromessi, dove plug-in corrotti per WordPress hanno consentito loro di installare proxy. Ad oggi, almeno cinquanta organizzazioni e più di 1600 persone sono state vittime di attacchi legati all'APT 'MuddyWater'. Gli attacchi APT "MuddyWater" più recenti prendono di mira gli utenti di dispositivi Android, fornendo malware alle vittime nel tentativo di infiltrarsi nei loro dispositivi mobili. A causa dell'alto profilo degli obiettivi di questo gruppo sponsorizzato dallo stato, è improbabile che la maggior parte dei singoli utenti di computer si trovino compromessa da un attacco APT "MuddyWater". Tuttavia, le misure che possono aiutare a proteggere gli utenti di computer da attacchi come gli APT "MuddyWater" sono le stesse che si applicano alla maggior parte dei malware e ai gruppi criminali, incluso l'uso di potenti software di sicurezza, l'installazione delle ultime patch di sicurezza ed evitare contenuti online discutibili e allegati di posta elettronica.
Attacchi Android collegati all'APT "MuddyWater".
Uno degli ultimi strumenti di attacco utilizzati da "MuddyWater" APT è una minaccia malware per Android. I ricercatori sulla sicurezza dei PC hanno segnalato tre campioni di questo malware Android, due dei quali sembrano essere versioni incomplete create a dicembre del 2017. L'attacco più recente che ha coinvolto l'APT "MuddyWater" è stato abbandonato utilizzando un sito Web compromesso in Turchia. Le vittime di questo attacco APT "MuddyWater" erano localizzate in Afghanistan. Come la maggior parte degli attacchi di spionaggio APT "MuddyWater", lo scopo di questa infezione era di accedere ai contatti della vittima, alla cronologia delle chiamate e ai messaggi di testo, nonché per accedere alle informazioni GPS sul dispositivo infetto. Queste informazioni possono quindi essere utilizzate per danneggiare la vittima o trarne profitto in un'ampia varietà di modi. Altri strumenti associati agli attacchi APT "MuddyWater" includono Trojan backdoor personalizzati. Tre distinte backdoor personalizzate sono state collegate all'APT "MuddyWater":
1. Il primo Trojan backdoor personalizzato utilizza un servizio cloud per archiviare tutti i dati associati all'attacco APT "MuddyWater".
2. Il secondo Trojan backdoor personalizzato è basato su .NET ed esegue PowerShell come parte della sua campagna.
3. La terza backdoor personalizzata associata all'attacco APT "MuddyWater" è basata su Delphi ed è progettata per raccogliere le informazioni di sistema della vittima.
Una volta che il dispositivo della vittima è stato compromesso, l'APT "MuddyWater" utilizzerà malware e strumenti noti per impossessarsi del computer infetto e raccogliere i dati di cui hanno bisogno. I criminali che fanno parte degli attacchi APT "MuddyWater" non sono infallibili. Ci sono casi di codice sciatto e dati trapelati che hanno permesso loro di determinare di più sull'identità degli aggressori dell'APT "MuddyWater".
