Menu
CHIP Speedtest

PRÁVĚ V PRODEJI

MuddyWater nově útočí na běloruské, turecké a ukrajinské organizace

18.04.2019 17:18 | Milan Loucký
MuddyWater nově útočí na běloruské, turecké a ukrajinské organizace

Íránská útočná kyberskupina MuddyWater je aktivní od roku 2017. Jak upozornil výzkumný tým Check Point Research, nedávno se objevila nová kampaň zaměřená na Bělorusko, Turecko a Ukrajinu. Útočníci přitom používají jednoduchý, ale účinný vektor infekce: Spearphishing.

„Útoky obvykle začínají cíleným e-mailem odeslaným organizaci. Dalším krokem je ukradení legitimních dokumentů z infikovaných systémů organizace a poté jejich zneužití a distribuce dalším nic netušícím obětem,I říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.

„Soubory často obsahují loga skutečných společností nebo vládních subjektů, aby vše působilo důvěryhodněji, a připojena je zpráva, která uživatele vyzývá k povolení obsahu. Dobře zpracované škodlivé dokumenty využívají i sociální inženýrství a jsou první fází dlouhého infekčního řetězce, který končí infikováním powershellovým backdoorem POWERSTATS, který je právě spojovaný s touto útočnou skupinou. Tento výkonný backdoor může přijímat příkazy od útočníků, což umožňuje krást soubory z infikovaného systému, spouštět další skripty nebo třeba mazat soubory,“ dodává Petr Kadrmas.

Tyto metody zůstávají od počátku stejné, ale některé mezifáze se mění, aby MuddyWater nebyl odhalen, když bezpečnostní společnosti zjistí předchozí taktiku, techniky a postupy. V tomto posledním útoku poprvé vidíme ve druhé fázi spustitelný soubor, který není napsán v PowerShellu.

Ačkoli se MuddyWater většinou zaměřuje na oblast Blízkého východu, politická příslušnost, motivy a cíle nejsou zatím příliš zřejmé. V minulosti patřily mezi hlavní cíle země jako Saúdská Arábie, SAE a Turecko, ale kampaně se postupně rozšířily i na další země jako Bělorusko a Ukrajina.

Útočníci neustále inovují a experimentují s novými technikami a dalšími vrstvami, aby zamaskovali svůj specifický rukopis a ztížili odhalení, kdo za útoky stojí, takže můžeme očekávat další vývoj této hrozby.

 

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Odesláním formuláře souhlasíte se zpracováním svých osobních údajů a užitím pro marketingové účely vydavatelství Burda International CZ s. r. o.

Předplatné / nákup chipu Digitální edice chipu Aktuální vydání
Komerční sdělení