MuddyWater grupo APT amplió su arsenal y utiliza nuevos vectores de ataque

El grupo MuddyWater APT iraní comenzó a usar nuevas vías de ataque sobre las telecomunicaciones y las organizaciones gubernamentales.

UNAe acuerdo con la compañía de seguridad de la información Seguridad Clearsky, MuddyWater se ha completado por sus tácticas, técnicas y procedimientos (TTP) con nuevos documentos de Microsoft Word que descargan archivos maliciosos a través de servidores comprometidos, así como los documentos que explotan CVE-2017-0.199.

“El TTP incluye documentos de señuelo que explotan CVE-2.017-0199 como la primera etapa del ataque. Esto es seguido por la segunda etapa del ataque - la comunicación con los servidores hackeados C2 y la descarga de un archivo infectado con las macros”, - informar en Clearsky Seguridad.

Los documentos con macros VBA descargar software malicioso enmascarado como JPG en el ordenador atacado desde un servidor ubicado en el mismo país con la víctima. Este software explota Microsoft Office / WordPad vulnerabilidad de ejecución remota de código w / API de Windows (CVE-2017-0199) vulnerabilidad y se detecta por sólo tres soluciones de seguridad. Para comparacion, software utilizado en ataques anteriores fue detectado por 32 antivirus.

Después de que el equipo afectado, el malware intenta conectarse a la C&servidor C controlado por los atacantes y, si falla, el usuario redirigida en la Wikipedia.

leer también: Los investigadores dijeron sobre los nuevos instrumentos del grupo criminal cibernético MuddyWater

Banda utiliza dos tipos de documentos maliciosos para explotar la vulnerabilidad mencionada anteriormente. El primer documento utiliza mensajes de error, y el segundo explota la vulnerabilidad inmediatamente después de su descubrimiento por parte de la víctima.

El primer documento a su vez carga el malware de la primera y segunda etapa de la C&servidor de C en el sistema atacado. Algunos documentos utilizan ambos tipos de ataque.

Fuente: https://www.clearskysec.com