MuddyWater grupo APT amplió su arsenal y utiliza nuevos vectores de ataque

El grupo MuddyWater APT iraní comenzó a usar nuevas vías de ataque sobre las telecomunicaciones y las organizaciones gubernamentales.

UNAe acuerdo con la compañía de seguridad de la información Seguridad Clearsky, MuddyWater se ha completado por sus tácticas, técnicas y procedimientos (TTP) con nuevos documentos de Microsoft Word que descargan archivos maliciosos a través de servidores comprometidos, así como los documentos que explotan CVE-2017-0.199.

“El TTP incluye documentos de señuelo que explotan CVE-2.017-0199 como la primera etapa del ataque. Esto es seguido por la segunda etapa del ataque - la comunicación con los servidores hackeados C2 y la descarga de un archivo infectado con las macros”, - informar en Clearsky Seguridad.

Los documentos con macros VBA descargar software malicioso enmascarado como JPG en el ordenador atacado desde un servidor ubicado en el mismo país con la víctima. Este software explota Microsoft Office / WordPad vulnerabilidad de ejecución remota de código w / API de Windows (CVE-2017-0199) vulnerabilidad y se detecta por sólo tres soluciones de seguridad. Para comparacion, software utilizado en ataques anteriores fue detectado por 32 antivirus.

Después de que el equipo afectado, el malware intenta conectarse a la C&servidor C controlado por los atacantes y, si falla, el usuario redirigida en la Wikipedia.

leer también: Los investigadores dijeron sobre los nuevos instrumentos del grupo criminal cibernético MuddyWater

Banda utiliza dos tipos de documentos maliciosos para explotar la vulnerabilidad mencionada anteriormente. El primer documento utiliza mensajes de error, y el segundo explota la vulnerabilidad inmediatamente después de su descubrimiento por parte de la víctima.

El primer documento a su vez carga el malware de la primera y segunda etapa de la C&servidor de C en el sistema atacado. Algunos documentos utilizan ambos tipos de ataque.

Referencia:

MuddyWater (aka SeedWorm / Temp.Zagros) es un alto perfil amenaza persistente avanzada (APTO) el actor patrocinado por Irán. El grupo fue observado por primera vez en 2017, y desde entonces ha operado varias campañas de espionaje mundial. Con eso en mente, sus operaciones más importantes se centran principalmente en los países de Oriente Medio y Asia Media.

El grupo se dirige a una amplia gama de sectores, incluidos los sectores gubernamentales, militar, telecomunicación, y la academia.

Fuente: https://www.clearskysec.com

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

MageCart en la plataforma de nube Heroku

Los investigadores encontraron Varios MageCart Web skimmers En Heroku Cloud Platform

Investigadores de Malwarebytes informaron sobre la búsqueda de varios skimmers MageCart web en la plataforma de nube Heroku …

Android Spyware CallerSpy

máscaras spyware CallerSpy como una aplicación de chat Android

expertos de Trend Micro descubrieron que el malware CallerSpy, que enmascara como una aplicación de chat y Android, …

Deja una respuesta