APT gruppe MuddyWater udvidet sit arsenal og bruger nye angrebsvektorer

Den iranske APT gruppe MuddyWater begyndte at bruge nye angrebsvektorer om telekommunikation og statslige organisationer.

ENccording til de oplysninger vagtselskab Clearsky Sikkerhed, MuddyWater har genopfyldes sin taktik, teknikker og procedurer (TTP) med nye Microsoft Word-dokumenter, der henter skadelige filer gennem kompromitterede servere, samt dokumenter, der udnytter CVE-2017-0199.

”The TTP omfatter lokkefugle dokumenter udnytter CVE-2017-0199 som den første fase af angrebet. Dette efterfølges af anden fase af angrebet - kommunikation med hacket C2 servere og downloade en fil er inficeret med makroer”, - informere i Clearsky Sikkerhed.

Dokumenter med VBA-makroer downloade malware maskeret som JPG på angrebet computer fra en server placeret i samme land med offeret. Denne software udnytter Microsoft Office / WordPad fjernkørsel sårbarhed m / Windows API (CVE-2017-0199) sårbarhed og detekteres ved kun tre sikkerhedsløsninger. Til sammenligning, software, der bruges i tidligere angreb blev opdaget af 32 antivirusprogrammer.

Når computeren kompromitteret, malware forsøger at oprette forbindelse til C&C server styret af angriberne og, hvis det mislykkes, brugeren omdirigeret på Wikipedia.

Læs også: Forskere fortalte om nye instrumenter MuddyWater cyberkriminelle gruppe

Band bruger to typer af ondsindede dokumenter at udnytte sårbarheden er nævnt ovenfor. Det første dokument bruger fejlmeddelelser, og den anden udnytter sårbarheden straks efter dens opdagelse af offeret.

Det første dokument på sin side indlæser malware af den første og anden fase fra C&C server på angrebet systemet. Nogle dokumenter bruge begge angrebsvektorer.

Reference:

Mudret vand (aka SeedWorm / Temp.Zagros) er en høj-profil Avanceret vedvarende trussel (APT) skuespiller sponsoreret af Iran. Gruppen blev først observeret i 2017, og da har drevet flere globale spionage kampagner. Med det i tankerne, deres væsentligste aktiviteter fokuserer primært på mellemøstlige og Middle asiatiske nationer.

Gruppen er rettet mod et bredt farveskala af sektorer, herunder statslige, militær, telekommunikation, og den akademiske verden.

Kilde: https://www.clearskysec.com

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

MageCart på Heroku Cloud Platform

Forskere har fundet flere MageCart Web Forplove On Heroku Cloud Platform

Forskere ved Malwarebytes rapporteret om at finde flere MageCart web skummere på Heroku cloud-platform …

Android Spyware CallerSpy

CallerSpy spyware masker som en Android chat applikation

Trend Micro eksperter opdagede malware CallerSpy, hvilke masker som en Android chat program og, …

Skriv et svar