APT gruppe MuddyWater utvidet arsenal og bruker nye Angrepsvektorene

Den iranske APT gruppe MuddyWater begynte å bruke nye angrepsvektorer på telekommunikasjon og offentlige organisasjoner.

ENccording til informasjonssikkerhet selskap Clearsky Security, MuddyWater har fylt opp sin taktikk, teknikker og prosedyrer (TTP) med nye Microsoft Word-dokumenter som laster ned skadelige filer via kompromitterte servere, samt dokumenter som utnytter CVE-2017-0199.

“Den TTP omfatter lokkefugl dokumenter utnytter CVE-2017-0199 som den første fasen av angrepet. Dette etterfølges av det andre trinn av angrepet - kommunikasjon med hackede C2-servere og nedlasting av en fil infisert med makroene”, - informere Clearsky Security.

dokumenter med VBA-makroer laste ned malware maskert som JPG på angrepet datamaskinen fra en server plassert i samme land med offeret. Denne programvaren utnytter Microsoft Office / WordPad ekstern kjøring av kode w / Windows API (CVE-2017-0199) sårbarhet og blir detektert av bare tre sikkerhetsløsninger. Til sammenligning, programvare som brukes i siste angrep ble oppdaget av 32 antivirusprogrammer.

Når datamaskinen kompromittert, malware prøver å koble til C&C server styrt av angrip og, hvis den svikter, brukeren omdirigert på Wikipedia.

Les også: Forskere fortalt om nye instrumenter av MuddyWater cybercriminal gruppe

Bandet bruker to typer skadelige dokumenter for å utnytte sikkerhetsproblemet som er nevnt ovenfor. Den første dokumentet bruker feilmeldinger, og andre utnytter sårbar umiddelbart etter oppdagelsen av offeret.

Den første dokument i sin tur laster skadelig av det første og andre trinn fra den C-&C-serveren på angrepet system. Noen dokumenter bruker begge angrepsvektorer.

Kilde: https://www.clearskysec.com