APT groep muddywater breidde haar arsenaal en gebruikt nieuwe aanvalsvectoren

De Iraanse APT groep muddywater begon met behulp van nieuwe aanvalsvectoren op telecommunicatie en gouvernementele organisaties.

EENolgens de informatie beveiligingsbedrijf Clearsky Beveiliging, Muddywater heeft zijn tactiek bijgevuld, technieken en procedures (TTP) met de nieuwe Microsoft Word-documenten die kwaadaardige bestanden downloaden via gecompromitteerde servers, evenals documenten die CVE-2017-0199 exploit.

“De TTP omvat decoy documenten exploiteren CVE-2017-0199 als de eerste fase van de aanval. Dit wordt gevolgd door de tweede fase van de aanval - de communicatie met de gehackte C2-servers en het downloaden van een bestand besmet met het macros”, - informeren Clearsky Beveiliging.

documenten met VBA-macro's downloaden malware vermomd als JPG op de aangevallen computer vanaf een server die zich in hetzelfde land met het slachtoffer. Deze software maakt gebruik van Microsoft Office / WordPad uitvoeren van externe code w / Windows API (CVE-2017-0199) kwetsbaarheid en wordt gedetecteerd door slechts drie beveiligingsoplossingen. Ter vergelijking, software die wordt gebruikt in het verleden aanvallen werd gedetecteerd door 32 antivirusprogramma's.

Nadat de computer gecompromitteerd, de malware probeert te verbinden met de C&C server gecontroleerd door de aanvallers en, als het mislukt, de gebruiker omgeleid op Wikipedia.

Lees ook: Onderzoekers verteld over nieuwe instrumenten van muddywater cybercrimineel groep

Band maakt gebruik van twee soorten kwaadaardige documenten aan de bovengenoemde beveiligingslek. Het eerste document maakt gebruik van foutmeldingen, en de tweede exploiteert de kwetsbaarheid onmiddellijk na de ontdekking van het slachtoffer.

Het eerste document op zijn beurt laadt malware van de eerste en tweede trap van de C&C-server op het aangevallen systeem. Sommige documenten gebruik maken van zowel aanvalsvectoren.

Referentie:

Modderig water (aka SeedWorm / Temp.Zagros) is een high-profile Uitgebreid Persistent Threat (APT) acteur gesponsord door Iran. De groep werd eerst waargenomen in 2017, en sindsdien meerdere wereldwijde spionage campagnes bediend. Met dat in gedachten, hun meest belangrijke activiteiten vooral gericht op het Midden-Oosten en Midden-Aziatische landen.

De groep richt zich op een breed scala van sectoren, waaronder gouvernementele, leger, telecommunicatieverbinding, en de academische wereld.

Bron: https://www.clearskysec.com

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

MageCart op de Heroku Cloud Platform

Onderzoekers vonden verschillende MageCart Web Skimmers Op Heroku Cloud Platform

Onderzoekers van Malwarebytes rapporteerde over het vinden van een aantal MageCart web skimmers op de Heroku cloud-platform …

Android Spyware CallerSpy

CallerSpy spyware maskers als een Android-chat-applicatie

Trend Micro deskundigen ontdekte de malware CallerSpy, waarachter een Android chat-toepassing en, …

Laat een antwoord achter