APT MuddyWater grupo expandiu seu arsenal e usa novos vetores de ataque

O MuddyWater grupo APT iraniana começou a usar novos vetores de ataque em telecomunicações e organizações governamentais.

UMAegundo a empresa de segurança da informação Clearsky Segurança, MuddyWater foi reabastecido suas táticas, técnicas e procedimentos (TTP) com novos documentos do Microsoft Word que baixar arquivos maliciosos através de servidores comprometidos, bem como documentos que exploram CVE-2017-0199.

“O TTP inclui documentos de engodo que exploram CVE-2017-0199 como a primeira fase do ataque. Isto é seguido pela segunda fase do ataque - a comunicação com os servidores C2 hackeados e download de um arquivo infectado com os macros”, - informar Clearsky Segurança.

documentos com macros VBA baixar malware mascarado como JPG no computador atacado por um servidor localizado no mesmo país com a vítima. Este software explora a vulnerabilidade de execução remota de código Microsoft Office / WordPad w / API do Windows (CVE-2017-0199) vulnerabilidade e é detectado por apenas três soluções de segurança. Para comparação, software usado em ataques últimos foi detectado por 32 programas antivírus.

Após o computador comprometido, o malware tenta ligar à C&servidor C controlada pelos atacantes e, se falhar, o usuário redirecionado na Wikipedia.

Leia também: Pesquisadores contou sobre novos instrumentos de grupo cibercriminoso MuddyWater

Banda usa dois tipos de documentos maliciosos para explorar a vulnerabilidade mencionada acima. O primeiro documento utiliza mensagens de erro, eo segundo explora a vulnerabilidade imediatamente após sua descoberta pela vítima.

O primeiro documento, a sua vez, carrega malwares da primeira e segunda fase a partir do C&servidor de C no sistema atacado. Alguns documentos usar ambos os vetores de ataque.

Referência:

Água barrenta (aka SeedWorm / Temp.Zagros) é um alto perfil Ameaça Persistente Avançada (APT) ator patrocinado pelo Irã. O grupo foi observada pela primeira vez em 2017, e desde então tem operado várias campanhas de espionagem globais. Com aquilo em mente, suas operações mais significativas centram-se principalmente em Oriente Médio e países asiáticos Média.

O grupo tem como alvo uma ampla gama de setores, incluindo governamental, militares, telecomunicação, e academia.

Fonte: https://www.clearskysec.com

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

MageCart na Cloud Platform Heroku

Os investigadores encontraram vários MageCart Web Skimmers Em Heroku Cloud Platform

Pesquisadores da Malwarebytes informou sobre encontrar vários skimmers MageCart web na plataforma Heroku nuvem …

Android Spyware CallerSpy

máscaras spyware CallerSpy como uma aplicação de chat Android

Trend Micro especialistas descobriram a CallerSpy malwares, que mascara como uma aplicação de chat Android, …

Deixe uma resposta