APT Gruppe MuddyWater erweitert sein Arsenal und nutzt neue Angriffsvektoren

Die iranische APT Gruppe MuddyWater begann neue Angriffsvektoren auf Telekommunikation und Regierungsorganisationen mit.

EINN ach der Informationssicherheitsfirma Clearsky Sicherheit, MuddyWater hat seine Taktik wieder aufgefüllt, Techniken und Verfahren (TTP) mit neuen Microsoft Word-Dokumenten, die schädlichen Dateien durch kompromittierten Servern herunterladen, sowie Dokumente, die CVE-2017-0199 ausnutzen.

„Der TTP enthält Decoy Dokumente CVE-2017-0199 als erste Stufe des Angriffs Ausnutzen. Dies wird durch die zweite Stufe des Angriffs gefolgt - Kommunikation mit dem gehackten C2-Server und eine Datei mit dem Makros infizierte Download“, - informieren in Clearsky Sicherheit.

Dokumente mit VBA-Makros Malware getarnt als JPG auf dem angegriffenen Computer von einem Server herunterladen im selben Land mit dem Opfer entfernt. Diese Software nutzt Microsoft Office / WordPad Remotecodeausführung w / Windows-API (CVE-2017-0199) Verletzlichkeit und wird von nur drei Sicherheitslösungen erkannt. Zum Vergleich, Software in Vergangenheit Angriffe verwendet wurde nachgewiesen durch 32 Antiviren-Programme.

Nachdem der Computer kompromittiert, die Malware versucht, die C zu verbinden&C-Server von den Angreifern kontrolliert und, wenn es scheitert, der Benutzer auf Wikipedia umgeleitet.

lesen Sie auch: Forscher berichteten über neue Instrumente der MuddyWater cyberkriminelle Gruppe

Band verwendet zwei Arten von schädlichen Dokumenten, die Sicherheitsanfälligkeit auszunutzen oben genannten. Das erste Dokument verwendet Fehlermeldungen, und die zweite nutzt die Verwundbarkeit unmittelbar nach seiner Entdeckung durch das Opfer.

Das erste Dokument wiederum lädt Malware der ersten und zweiten Stufe von der C&C-Server auf dem angegriffenen System. Einige Dokumente verwenden beide Angriffs.

Referenz:

Schlammiges Wasser (aka SeedWorm / Temp.Zagros) ist ein High-Profil Advanced Persistent Threat (GEEIGNET) Schauspieler gesponsert von Iran. Die Gruppe wurde zuerst beobachtet in 2017, und da hat mehrere globale Spionagekampagnen betrieben. Mit dem im Verstand, ihre wichtigsten Operationen konzentrieren sich vor allem aus dem Nahen Osten und Mittleren asiatischen Ländern.

Die Gruppe zielt auf ein breites Spektrum von Sektoren, einschließlich staatlicher, Militär-, Telekommunikations, und Wissenschaft.

Quelle: https://www.clearskysec.com

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort