APT 'MuddyWater'
L'APT 'MuddyWater' est un groupe criminel qui semble être basé en Iran. APT signifie « Advanced Persistent Threat », un terme utilisé par les chercheurs en sécurité informatique pour désigner ces types de groupes criminels. Des captures d'écran de logiciels malveillants liés à l'APT « MuddyWater » indiquent que leur emplacement est basé en Iran et peut-être parrainé par leur gouvernement. Les principales activités de l'APT « MuddyWater » semblent orientées vers d'autres pays du Moyen-Orient. Les attaques de l'APT « MuddyWater » ont ciblé des ambassades, des diplomates et des représentants du gouvernement et peuvent viser à leur fournir un avantage sociopolitique. Les attaques APT « MuddyWater » dans le passé ont également ciblé des entreprises de télécommunications. L'APT « MuddyWater » a également été associé à des attaques sous fausse bannière. Il s'agit d'attaques conçues pour donner l'impression qu'un acteur différent les a menées. Les attaques sous faux drapeau de l'APT « MuddyWater » dans le passé ont usurpé l'identité d'Israël, de la Chine, de la Russie et d'autres pays, souvent dans le but de provoquer des troubles ou des conflits entre la victime et la partie usurpée.
Tactiques d'attaque associées au groupe APT « MuddyWater »
Les attaques associées à l'APT « MuddyWater » comprennent des e-mails de spear phishing et l'exploitation de vulnérabilités Zero Day pour compromettre leurs victimes. L'APT 'MuddyWater' est lié à au moins 30 adresses IP distinctes. Ils achemineront également leurs données à travers plus de quatre mille serveurs compromis, où des plugins corrompus pour WordPress leur ont permis d'installer des proxys. A ce jour, au moins cinquante organisations et plus de 1600 individus ont été victimes d'attaques liées à l'APT « MuddyWater ». Les attaques APT « MuddyWater » les plus récentes ciblent les utilisateurs d'appareils Android, livrant des logiciels malveillants aux victimes dans le but d'infiltrer leurs appareils mobiles. En raison du profil élevé des cibles de ce groupe parrainé par l'État, il est peu probable que la plupart des utilisateurs d'ordinateurs individuels se retrouvent compromis par une attaque APT « MuddyWater ». Cependant, les mesures qui peuvent aider à protéger les utilisateurs d'ordinateurs contre des attaques telles que les APT « MuddyWater » sont les mêmes que celles qui s'appliquent à la plupart des groupes malveillants et criminels, y compris l'utilisation de logiciels de sécurité puissants, l'installation des derniers correctifs de sécurité et l'évitement du contenu en ligne douteux. et les pièces jointes des e-mails.
Attaques Android liées à l'APT 'MuddyWater'
L'un des derniers outils d'attaque utilisés par l'APT « MuddyWater » est une menace de malware Android. Des chercheurs en sécurité PC ont signalé trois échantillons de ce malware Android, dont deux semblent être des versions incomplètes qui ont été créées en décembre 2017. L'attaque la plus récente impliquant l'APT « MuddyWater » a été abandonnée à l'aide d'un site Web compromis en Turquie. Les victimes de cette attaque de l'APT « MuddyWater » se trouvaient en Afghanistan. Comme la plupart des attaques d'espionnage APT « MuddyWater », le but de cette infection était d'accéder aux contacts, à l'historique des appels et aux messages texte de la victime, ainsi qu'à accéder aux informations GPS sur l'appareil infecté. Ces informations peuvent ensuite être utilisées pour nuire à la victime ou en tirer profit de diverses manières. Les autres outils associés aux attaques APT « MuddyWater » incluent les chevaux de Troie de porte dérobée personnalisés. Trois portes dérobées personnalisées distinctes ont été liées à l'APT « MuddyWater » :
1. Le premier cheval de Troie de porte dérobée personnalisé utilise un service cloud pour stocker toutes les données associées à l'attaque APT « MuddyWater ».
2. Le deuxième cheval de Troie de porte dérobée personnalisé est basé sur .NET et exécute PowerShell dans le cadre de sa campagne.
3. La troisième porte dérobée personnalisée associée à l'attaque APT « MuddyWater » est basée sur Delphi et est conçue pour collecter les informations système de la victime.
Une fois que l'appareil de la victime a été compromis, l'APT « MuddyWater » utilisera des logiciels malveillants et des outils connus pour prendre le contrôle de l'ordinateur infecté et collecter les données dont ils ont besoin. Les criminels qui font partie des attaques APT « MuddyWater » ne sont pas infaillibles. Il existe des cas de code bâclé et de fuite de données qui leur ont permis d'en savoir plus sur l'identité des attaquants APT « MuddyWater ».
