APT gruppe MuddyWater utvidet arsenal og bruker nye Angrepsvektorene

Den iranske APT gruppe MuddyWater begynte å bruke nye angrepsvektorer på telekommunikasjon og offentlige organisasjoner.

ENccording til informasjonssikkerhet selskap Clearsky Security, MuddyWater har fylt opp sin taktikk, teknikker og prosedyrer (TTP) med nye Microsoft Word-dokumenter som laster ned skadelige filer via kompromitterte servere, samt dokumenter som utnytter CVE-2017-0199.

“Den TTP omfatter lokkefugl dokumenter utnytter CVE-2017-0199 som den første fasen av angrepet. Dette etterfølges av det andre trinn av angrepet - kommunikasjon med hackede C2-servere og nedlasting av en fil infisert med makroene”, - informere Clearsky Security.

dokumenter med VBA-makroer laste ned malware maskert som JPG på angrepet datamaskinen fra en server plassert i samme land med offeret. Denne programvaren utnytter Microsoft Office / WordPad ekstern kjøring av kode w / Windows API (CVE-2017-0199) sårbarhet og blir detektert av bare tre sikkerhetsløsninger. Til sammenligning, programvare som brukes i siste angrep ble oppdaget av 32 antivirusprogrammer.

Når datamaskinen kompromittert, malware prøver å koble til C&C server styrt av angrip og, hvis den svikter, brukeren omdirigert på Wikipedia.

Les også: Forskere fortalt om nye instrumenter av MuddyWater cybercriminal gruppe

Bandet bruker to typer skadelige dokumenter for å utnytte sikkerhetsproblemet som er nevnt ovenfor. Den første dokumentet bruker feilmeldinger, og andre utnytter sårbar umiddelbart etter oppdagelsen av offeret.

Den første dokument i sin tur laster skadelig av det første og andre trinn fra den C-&C-serveren på angrepet system. Noen dokumenter bruker begge angrepsvektorer.

Henvisning:

Gjørmete vann (aka SeedWorm / Temp.Zagros) er en høyt profilert Advanced Persistent Threat (APT) Skuespilleren sponset av Iran. Gruppen ble først observert i 2017, og siden har operert flere globale spionasje kampanjer. Med det i tankene, sine viktigste operasjoner i hovedsak fokusere på Midtøsten og Midt-asiatiske land.

Gruppen er rettet mot et bredt spekter av sektorer, inkludert regjerings, militær, telekommunikasjon, og akademia.

Kilde: https://www.clearskysec.com

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

MageCart på Heroku Cloud Platform

Forskere fant flere MageCart Web Skimmers På Heroku Cloud Platform

Forskere ved Malwarebytes rapportert om å finne flere MageCart web skimmere på Heroku Cloud Platform …

Android spyware CallerSpy

CallerSpy spyware masker som en Android-chat program

Trend Micro eksperter oppdaget malware CallerSpy, som masker som en Android-chat program og, …

Legg igjen et svar