'MuddyWater' APT
Die 'MuddyWater' APT ist eine kriminelle Gruppe, die ihren Sitz im Iran zu haben scheint. APT steht für „Advanced Persistent Threat“, ein Begriff, der von PC-Sicherheitsforschern verwendet wird, um sich auf diese Art von kriminellen Gruppen zu beziehen. Screenshots von Malware, die mit dem APT „MuddyWater“ verknüpft sind, weisen darauf hin, dass sich ihr Standort im Iran befindet und möglicherweise von ihrer Regierung gesponsert wird. Die Hauptaktivitäten des 'MuddyWater' APT scheinen auf andere Länder im Nahen Osten ausgerichtet zu sein. Die APT-Angriffe von „MuddyWater“ haben Botschaften, Diplomaten und Regierungsbeamte ins Visier genommen und können sich darauf konzentrieren, ihnen einen gesellschaftspolitischen Vorteil zu verschaffen. Die APT-Angriffe „MuddyWater“ in der Vergangenheit hatten auch Telekommunikationsunternehmen zum Ziel. Das APT „MuddyWater“ wurde auch mit Angriffen unter falscher Flagge in Verbindung gebracht. Dies sind Angriffe, die so aussehen sollen, als ob ein anderer Akteur sie ausgeführt hätte. Die „MuddyWater“-APT-Angriffe unter falscher Flagge haben sich in der Vergangenheit als Israel, China, Russland und andere Länder ausgegeben, oft in dem Versuch, Unruhen oder Konflikte zwischen dem Opfer und der imitierten Partei zu verursachen.
Angriffstaktiken im Zusammenhang mit der APT-Gruppe „MuddyWater“
Zu den Angriffen im Zusammenhang mit der 'MuddyWater' APT gehören Spear-Phishing-E-Mails und die Ausnutzung von Zero-Day-Schwachstellen, um ihre Opfer zu kompromittieren. Der 'MuddyWater' APT ist mit mindestens 30 verschiedenen IP-Adressen verknüpft. Sie leiten ihre Daten auch über mehr als viertausend kompromittierte Server, auf denen beschädigte Plugins für WordPress es ihnen ermöglicht haben, Proxys zu installieren. Bis heute sind mindestens fünfzig Organisationen und mehr als 1600 Personen Opfer von Angriffen im Zusammenhang mit dem APT „MuddyWater“. Die jüngsten „MuddyWater“-APT-Angriffe zielen auf Benutzer von Android-Geräten ab und liefern Malware an die Opfer, um ihre mobilen Geräte zu infiltrieren. Aufgrund der hohen Bekanntheit der Ziele dieser staatlich geförderten Gruppe ist es unwahrscheinlich, dass die meisten Computerbenutzer durch einen „MuddyWater“-APT-Angriff kompromittiert werden. Die Maßnahmen, mit denen Computerbenutzer jedoch vor Angriffen wie den APTs von „MuddyWater“ geschützt werden können, sind die gleichen wie für die meisten Malware- und kriminellen Gruppen, einschließlich der Verwendung starker Sicherheitssoftware, der Installation der neuesten Sicherheitspatches und der Vermeidung fragwürdiger Online-Inhalte und E-Mail-Anhänge.
Android-Angriffe im Zusammenhang mit der 'MuddyWater' APT
Eines der neuesten Angriffstools, das vom APT „MuddyWater“ verwendet wird, ist eine Android-Malware-Bedrohung. PC-Sicherheitsforscher haben drei Beispiele dieser Android-Malware gemeldet, von denen zwei anscheinend unvollständige Versionen sind, die im Dezember 2017 erstellt wurden. Die Opfer dieses „MuddyWater“-APT-Angriffs befanden sich in Afghanistan. Wie bei den meisten APT-Spionageangriffen von „MuddyWater“ bestand der Zweck dieser Infektion darin, Zugriff auf die Kontakte, den Anrufverlauf und die Textnachrichten des Opfers sowie auf die GPS-Informationen des infizierten Geräts zu erhalten. Diese Informationen können dann auf vielfältige Weise verwendet werden, um dem Opfer zu schaden oder Gewinn zu erzielen. Andere Tools, die mit den APT-Angriffen „MuddyWater“ in Verbindung stehen, umfassen benutzerdefinierte Backdoor-Trojaner. Drei verschiedene benutzerdefinierte Hintertüren wurden mit dem APT „MuddyWater“ verknüpft:
1. Der erste benutzerdefinierte Backdoor-Trojaner verwendet einen Cloud-Dienst zum Speichern aller Daten, die mit dem APT-Angriff „MuddyWater“ verbunden sind.
2. Der zweite benutzerdefinierte Backdoor-Trojaner basiert auf .NET und führt im Rahmen seiner Kampagne PowerShell aus.
3. Die dritte benutzerdefinierte Hintertür, die mit dem APT-Angriff „MuddyWater“ verbunden ist, basiert auf Delphi und wurde entwickelt, um die Systeminformationen des Opfers zu sammeln.
Sobald das Gerät des Opfers kompromittiert wurde, verwendet das 'MuddyWater' APT bekannte Malware und Tools, um den infizierten Computer zu übernehmen und die benötigten Daten zu sammeln. Die Kriminellen, die Teil der 'MuddyWater' APT-Angriffe sind, sind nicht unfehlbar. Es gibt Fälle von schlampigem Code und durchgesickerten Daten, die es ihnen ermöglicht haben, mehr über die Identität der 'MuddyWater'-APT-Angreifer herauszufinden.