Apartamento 'MuddyWater'
La APT 'MuddyWater' es un grupo criminal que parece tener su sede en Irán. APT significa "Amenaza Persistente Avanzada", un término utilizado por los investigadores de seguridad de PC para referirse a este tipo de grupos criminales. Las capturas de pantalla del malware vinculado al APT 'MuddyWater' apuntan a que su ubicación se encuentra en Irán y posiblemente esté patrocinada por su gobierno. Las principales actividades de la APT 'MuddyWater' parecen apuntar hacia otros países de Oriente Medio. Los ataques APT 'MuddyWater' se han dirigido a embajadas, diplomáticos y funcionarios gubernamentales y pueden estar enfocados en brindarles una ventaja sociopolítica. Los ataques APT 'MuddyWater' en el pasado también se dirigieron a empresas de telecomunicaciones. El APT 'MuddyWater' también se ha asociado con ataques de bandera falsa. Estos son ataques que están diseñados para parecer como si un actor diferente los hubiera llevado a cabo. Los ataques de bandera falsa de APT 'MuddyWater' en el pasado se han hecho pasar por Israel, China, Rusia y otros países, a menudo en un intento de causar disturbios o conflictos entre la víctima y la parte suplantada.
Tácticas de ataque asociadas con el grupo APT 'MuddyWater'
Los ataques asociados con la APT 'MuddyWater' incluyen correos electrónicos de phishing selectivo y la explotación de vulnerabilidades de día cero para comprometer a sus víctimas. El APT 'MuddyWater' está vinculado al menos a 30 direcciones IP distintas. También enrutarán sus datos a través de más de cuatro mil servidores comprometidos, donde los complementos corruptos para WordPress les han permitido instalar proxies. Hasta la fecha, al menos cincuenta organizaciones y más de 1600 personas han sido víctimas de ataques vinculados a la APT 'MuddyWater'. Los ataques APT 'MuddyWater' más recientes están dirigidos a usuarios de dispositivos Android, entregando malware a las víctimas en un intento de infiltrarse en sus dispositivos móviles. Debido al alto perfil de los objetivos de este grupo patrocinado por el estado, es poco probable que la mayoría de los usuarios de computadoras individuales se vean comprometidos por un ataque APT 'MuddyWater'. Sin embargo, las medidas que pueden ayudar a mantener a los usuarios de computadoras a salvo de ataques como los APT 'MuddyWater' son las mismas que se aplican a la mayoría de los grupos maliciosos y criminales, incluido el uso de software de seguridad fuerte, la instalación de los parches de seguridad más recientes y evitar contenido en línea cuestionable. y archivos adjuntos de correo electrónico.
Ataques de Android vinculados a la APT 'MuddyWater'
Una de las últimas herramientas de ataque utilizadas por la APT 'MuddyWater' es una amenaza de malware para Android. Los investigadores de seguridad de PC informaron tres muestras de este malware de Android, dos de las cuales parecen ser versiones incompletas que se crearon en diciembre de 2017. El ataque más reciente que involucró al APT 'MuddyWater' se lanzó utilizando un sitio web comprometido en Turquía. Las víctimas de este ataque APT 'MuddyWater' estaban ubicadas en Afganistán. Como la mayoría de los ataques de espionaje APT 'MuddyWater', el propósito de esta infección era obtener acceso a los contactos, el historial de llamadas y los mensajes de texto de la víctima, así como acceder a la información del GPS en el dispositivo infectado. Esta información se puede usar para dañar a la víctima o sacar provecho de una amplia variedad de formas. Otras herramientas asociadas con los ataques APT 'MuddyWater' incluyen troyanos de puerta trasera personalizados. Se han vinculado tres puertas traseras personalizadas distintas al APT 'MuddyWater':
1. El primer troyano de puerta trasera personalizado utiliza un servicio en la nube para almacenar todos los datos asociados con el ataque APT 'MuddyWater'.
2. El segundo troyano de puerta trasera personalizado se basa en .NET y ejecuta PowerShell como parte de su campaña.
3. La tercera puerta trasera personalizada asociada con el ataque APT 'MuddyWater' se basa en Delphi y está diseñada para recopilar información del sistema de la víctima.
Una vez que el dispositivo de la víctima se ha visto comprometido, el APT 'MuddyWater' utilizará malware y herramientas conocidas para controlar la computadora infectada y recopilar los datos que necesitan. Los delincuentes que forman parte de los ataques APT 'MuddyWater' no son infalibles. Hay instancias de código descuidado y datos filtrados que les han permitido determinar más sobre la identidad de los atacantes APT 'MuddyWater'.
