APT Gruppe MuddyWater erweitert sein Arsenal und nutzt neue Angriffsvektoren

Die iranische APT Gruppe MuddyWater begann neue Angriffsvektoren auf Telekommunikation und Regierungsorganisationen mit.

EINN ach der Informationssicherheitsfirma Clearsky Sicherheit, MuddyWater hat seine Taktik wieder aufgefüllt, Techniken und Verfahren (TTP) mit neuen Microsoft Word-Dokumenten, die schädlichen Dateien durch kompromittierten Servern herunterladen, sowie Dokumente, die CVE-2017-0199 ausnutzen.

„Der TTP enthält Decoy Dokumente CVE-2017-0199 als erste Stufe des Angriffs Ausnutzen. Dies wird durch die zweite Stufe des Angriffs gefolgt - Kommunikation mit dem gehackten C2-Server und eine Datei mit dem Makros infizierte Download“, - informieren in Clearsky Sicherheit.

Dokumente mit VBA-Makros Malware getarnt als JPG auf dem angegriffenen Computer von einem Server herunterladen im selben Land mit dem Opfer entfernt. Diese Software nutzt Microsoft Office / WordPad Remotecodeausführung w / Windows-API (CVE-2017-0199) Verletzlichkeit und wird von nur drei Sicherheitslösungen erkannt. Zum Vergleich, Software in Vergangenheit Angriffe verwendet wurde nachgewiesen durch 32 Antiviren-Programme.

Nachdem der Computer kompromittiert, die Malware versucht, die C zu verbinden&C-Server von den Angreifern kontrolliert und, wenn es scheitert, der Benutzer auf Wikipedia umgeleitet.

lesen Sie auch: Forscher berichteten über neue Instrumente der MuddyWater cyberkriminelle Gruppe

Band verwendet zwei Arten von schädlichen Dokumenten, die Sicherheitsanfälligkeit auszunutzen oben genannten. Das erste Dokument verwendet Fehlermeldungen, und die zweite nutzt die Verwundbarkeit unmittelbar nach seiner Entdeckung durch das Opfer.

Das erste Dokument wiederum lädt Malware der ersten und zweiten Stufe von der C&C-Server auf dem angegriffenen System. Einige Dokumente verwenden beide Angriffs.

Quelle: https://www.clearskysec.com