APT 'MuddyWater'
APT 'MuddyWater' është një grup kriminal që duket se është i vendosur në Iran. APT qëndron për "Kërcënim i Përparuar i Përparuar", një term i përdorur nga studiuesit e sigurisë së PC për t'iu referuar këtyre llojeve të grupeve kriminale. Pamjet e ekranit nga programet keqdashëse të lidhura me APT-në 'MuddyWater' tregojnë se vendndodhja e tyre është e vendosur në Iran dhe ndoshta sponsorizohet nga qeveria e tyre. Aktivitetet kryesore të APT 'MuddyWater' duken të drejtuara drejt vendeve të tjera në Lindjen e Mesme. Sulmet e APT-së 'MuddyWater' kanë shënjestruar ambasadat, diplomatët dhe zyrtarët qeveritarë dhe mund të fokusohen në sigurimin e tyre me një avantazh sociopolitik. Sulmet APT 'MuddyWater' në të kaluarën kanë synuar gjithashtu kompanitë e telekomunikacionit. APT 'MuddyWater' gjithashtu është shoqëruar me sulme me flamur të rremë. Këto janë sulme që janë krijuar për t'u dukur sikur një aktor tjetër i ka kryer ato. Sulmet e flamurit të rremë APT 'MuddyWater' në të kaluarën kanë imituar Izraelin, Kinën, Rusinë dhe vende të tjera, shpesh në një përpjekje për të shkaktuar trazira ose konflikt midis viktimës dhe palës së imituar.
Taktikat e sulmit të lidhura me grupin APT 'MuddyWater'
Sulmet e lidhura me APT-në 'MuddyWater' përfshijnë emailet e phishing me shtizë dhe shfrytëzimin e dobësive të ditës zero për të komprometuar viktimat e tyre. APT 'MuddyWater' është i lidhur me të paktën 30 adresa IP të ndryshme. Ata gjithashtu do të drejtojnë të dhënat e tyre përmes më shumë se katër mijë serverëve të komprometuar, ku shtojcat e korruptuara për WordPress i kanë lejuar ata të instalojnë proxies. Deri më sot, të paktën pesëdhjetë organizata dhe më shumë se 1600 individë kanë qenë viktima të sulmeve të lidhura me APT-në 'MuddyWater'. Sulmet më të fundit të APT-së 'MuddyWater' kanë në shënjestër përdoruesit e pajisjeve Android, duke ofruar malware për viktimat në një përpjekje për të depërtuar në pajisjet e tyre celulare. Për shkak të profilit të lartë të objektivave të këtij grupi të sponsorizuar nga shteti, nuk ka gjasa që shumica e përdoruesve individualë të kompjuterëve ta gjejnë veten të komprometuar nga një sulm APT 'MuddyWater'. Megjithatë, masat që mund të ndihmojnë në mbajtjen e përdoruesve të kompjuterave të sigurt nga sulmet si APT-të 'MuddyWater' janë të njëjtat që zbatohen për shumicën e malware dhe grupeve kriminale, duke përfshirë përdorimin e softuerit të fortë të sigurisë, instalimin e arnimeve më të fundit të sigurisë dhe shmangien e përmbajtjes së dyshimtë në internet. dhe bashkëngjitjet e postës elektronike.
Sulmet Android të lidhura me APT-në 'MuddyWater'
Një nga mjetet më të fundit të sulmit të përdorur nga APT 'MuddyWater' është një kërcënim malware për Android. Studiuesit e sigurisë së PC-ve kanë raportuar tre mostra të këtij malware Android, dy prej të cilave duket se janë versione të paplotësuara që u krijuan në dhjetor të 2017. Sulmi më i fundit që përfshin APT 'MuddyWater' u hodh duke përdorur një faqe interneti të komprometuar në Turqi. Viktimat e këtij sulmi APT 'MuddyWater' u gjetën në Afganistan. Ashtu si shumica e sulmeve të spiunazhit APT 'MuddyWater', qëllimi i këtij infeksioni ishte të fitonte akses në kontaktet e viktimës, historikun e telefonatave dhe mesazhet me tekst, si dhe aksesin në informacionin GPS në pajisjen e infektuar. Ky informacion më pas mund të përdoret për të dëmtuar viktimën ose për të përfituar në mënyra të ndryshme. Mjete të tjera të lidhura me sulmet APT 'MuddyWater' përfshijnë trojanët e personalizuar me dyer të pasme. Tre dyer të veçanta me porosi janë lidhur me APT-në 'MuddyWater':
1. Trojani i parë i personalizuar i backdoor përdor një shërbim cloud për ruajtjen e të gjitha të dhënave që lidhen me sulmin APT 'MuddyWater'.
2. Trojan i dytë i personalizuar i backdoor bazohet në .NET dhe drejton PowerShell si pjesë e fushatës së tij.
3. Backdoor i tretë i personalizuar i lidhur me sulmin APT 'MuddyWater' bazohet në Delphi dhe është krijuar për të mbledhur informacionin e sistemit të viktimës.
Pasi pajisja e viktimës të jetë komprometuar, APT 'MuddyWater' do të përdorë malware dhe mjete të njohura për të marrë kontrollin e kompjuterit të infektuar dhe për të mbledhur të dhënat që i nevojiten. Kriminelët që janë pjesë e sulmeve APT 'MuddyWater' nuk janë të pagabueshëm. Ka raste të kodit të ngathët dhe të dhënave të rrjedhura që i kanë lejuar ata të përcaktojnë më shumë rreth identitetit të sulmuesve APT 'MuddyWater'.
