APT guruhi MuddyWater yangi hujum vektorlaridan foydalanadi
CVE-2017-0199 zaifligidan foydalanish uchun guruh ikki turdagi zararli hujjatlardan foydalanadi.
Eronning MuddyWater APT guruhi telekommunikatsiya va davlat tashkilotlariga qarshi yangi hujum vektorlaridan foydalanishni boshladi. Clearsky Security xavfsizlik tadqiqotchilarining fikriga ko’ra, MuddyWater o’zining taktikasi, texnikasi va protseduralarini (TTP) kengaytirib, buzilgan serverlar orqali zararli fayllarni yuklab oladigan yangi Microsoft Word hujjatlarini, shuningdek, CVE-2017-0199 zaifligidan foydalanadigan hujjatlarni o’z ichiga oladi. VBA makroslarini o’z ichiga olgan ushbu hujjatlar JPG fayllari sifatida yashiringan zararli dasturlarni jabrlanuvchi bilan bir mamlakatda joylashgan serverdan maqsadli kompyuterga yuklab oladi. Ushbu zararli dastur Windows API (CVE-2017-0199) bilan Microsoft Office/WordPad masofaviy kodini bajarish zaifligidan foydalanadi va faqat uchta xavfsizlik yechimi tomonidan aniqlanadi. Taqqoslash uchun, avvalgi hujumlarda foydalanilgan zararli dastur 32 ta antivirus mahsuloti tomonidan aniqlangan.
Kompyuterni buzgandan so’ng, zararli dastur tajovuzkorlar tomonidan boshqariladigan C&C serveriga ulanishga harakat qiladi va agar bu muvaffaqiyatsiz bo’lsa, foydalanuvchi Vikipediyaga yo’naltiriladi.
Yuqorida qayd etilgan zaiflikdan foydalanish uchun guruh ikki turdagi zararli hujjatlardan foydalanadi. Birinchi hujjat xato xabarlaridan foydalanadi, ikkinchisi esa zaiflikdan jabrlanuvchi tomonidan ochilgandan so’ng darhol foydalanadi. Birinchi hujjat C&C serveridan maqsadli tizimga birinchi va ikkinchi bosqichdagi zararli dasturlarni navbatma-navbat yuklaydi. Ba’zi hujjatlar ikkala hujum vektoridan ham foydalanadi.
