APT gruppe MuddyWater udvidet sit arsenal og bruger nye angrebsvektorer

Den iranske APT gruppe MuddyWater begyndte at bruge nye angrebsvektorer om telekommunikation og statslige organisationer.

ENccording til de oplysninger vagtselskab Clearsky Sikkerhed, MuddyWater har genopfyldes sin taktik, teknikker og procedurer (TTP) med nye Microsoft Word-dokumenter, der henter skadelige filer gennem kompromitterede servere, samt dokumenter, der udnytter CVE-2017-0199.

”The TTP omfatter lokkefugle dokumenter udnytter CVE-2017-0199 som den første fase af angrebet. Dette efterfølges af anden fase af angrebet - kommunikation med hacket C2 servere og downloade en fil er inficeret med makroer”, - informere i Clearsky Sikkerhed.

Dokumenter med VBA-makroer downloade malware maskeret som JPG på angrebet computer fra en server placeret i samme land med offeret. Denne software udnytter Microsoft Office / WordPad fjernkørsel sårbarhed m / Windows API (CVE-2017-0199) sårbarhed og detekteres ved kun tre sikkerhedsløsninger. Til sammenligning, software, der bruges i tidligere angreb blev opdaget af 32 antivirusprogrammer.

Når computeren kompromitteret, malware forsøger at oprette forbindelse til C&C server styret af angriberne og, hvis det mislykkes, brugeren omdirigeret på Wikipedia.

Læs også: Forskere fortalte om nye instrumenter MuddyWater cyberkriminelle gruppe

Band bruger to typer af ondsindede dokumenter at udnytte sårbarheden er nævnt ovenfor. Det første dokument bruger fejlmeddelelser, og den anden udnytter sårbarheden straks efter dens opdagelse af offeret.

Det første dokument på sin side indlæser malware af den første og anden fase fra C&C server på angrebet systemet. Nogle dokumenter bruge begge angrebsvektorer.

Kilde: https://www.clearskysec.com