APT MuddyWater grupo expandiu seu arsenal e usa novos vetores de ataque

O MuddyWater grupo APT iraniana começou a usar novos vetores de ataque em telecomunicações e organizações governamentais.

UMAegundo a empresa de segurança da informação Clearsky Segurança, MuddyWater foi reabastecido suas táticas, técnicas e procedimentos (TTP) com novos documentos do Microsoft Word que baixar arquivos maliciosos através de servidores comprometidos, bem como documentos que exploram CVE-2017-0199.

“O TTP inclui documentos de engodo que exploram CVE-2017-0199 como a primeira fase do ataque. Isto é seguido pela segunda fase do ataque - a comunicação com os servidores C2 hackeados e download de um arquivo infectado com os macros”, - informar Clearsky Segurança.

documentos com macros VBA baixar malware mascarado como JPG no computador atacado por um servidor localizado no mesmo país com a vítima. Este software explora a vulnerabilidade de execução remota de código Microsoft Office / WordPad w / API do Windows (CVE-2017-0199) vulnerabilidade e é detectado por apenas três soluções de segurança. Para comparação, software usado em ataques últimos foi detectado por 32 programas antivírus.

Após o computador comprometido, o malware tenta ligar à C&servidor C controlada pelos atacantes e, se falhar, o usuário redirecionado na Wikipedia.

Leia também: Pesquisadores contou sobre novos instrumentos de grupo cibercriminoso MuddyWater

Banda usa dois tipos de documentos maliciosos para explorar a vulnerabilidade mencionada acima. O primeiro documento utiliza mensagens de erro, eo segundo explora a vulnerabilidade imediatamente após sua descoberta pela vítima.

O primeiro documento, a sua vez, carrega malwares da primeira e segunda fase a partir do C&servidor de C no sistema atacado. Alguns documentos usar ambos os vetores de ataque.

Fonte: https://www.clearskysec.com