APT groep muddywater breidde haar arsenaal en gebruikt nieuwe aanvalsvectoren

De Iraanse APT groep muddywater begon met behulp van nieuwe aanvalsvectoren op telecommunicatie en gouvernementele organisaties.

EENolgens de informatie beveiligingsbedrijf Clearsky Beveiliging, Muddywater heeft zijn tactiek bijgevuld, technieken en procedures (TTP) met de nieuwe Microsoft Word-documenten die kwaadaardige bestanden downloaden via gecompromitteerde servers, evenals documenten die CVE-2017-0199 exploit.

“De TTP omvat decoy documenten exploiteren CVE-2017-0199 als de eerste fase van de aanval. Dit wordt gevolgd door de tweede fase van de aanval - de communicatie met de gehackte C2-servers en het downloaden van een bestand besmet met het macros”, - informeren Clearsky Beveiliging.

documenten met VBA-macro's downloaden malware vermomd als JPG op de aangevallen computer vanaf een server die zich in hetzelfde land met het slachtoffer. Deze software maakt gebruik van Microsoft Office / WordPad uitvoeren van externe code w / Windows API (CVE-2017-0199) kwetsbaarheid en wordt gedetecteerd door slechts drie beveiligingsoplossingen. Ter vergelijking, software die wordt gebruikt in het verleden aanvallen werd gedetecteerd door 32 antivirusprogramma's.

Nadat de computer gecompromitteerd, de malware probeert te verbinden met de C&C server gecontroleerd door de aanvallers en, als het mislukt, de gebruiker omgeleid op Wikipedia.

Lees ook: Onderzoekers verteld over nieuwe instrumenten van muddywater cybercrimineel groep

Band maakt gebruik van twee soorten kwaadaardige documenten aan de bovengenoemde beveiligingslek. Het eerste document maakt gebruik van foutmeldingen, en de tweede exploiteert de kwetsbaarheid onmiddellijk na de ontdekking van het slachtoffer.

Het eerste document op zijn beurt laadt malware van de eerste en tweede trap van de C&C-server op het aangevallen systeem. Sommige documenten gebruik maken van zowel aanvalsvectoren.

Bron: https://www.clearskysec.com