伊朗国家级网络间谍组织“浑水”(MuddyWater)重出江湖,利用名为“MuddyC2Go”的全新指挥控制框架,瞄准埃及、苏丹和坦桑尼亚的电信行业发动攻击。
赛门铁克威胁猎手团队将此次活动命名为“Seedworm”。该组织此前也曾活跃于中东地区,代号包括Boggy Serpens、Cobalt Ulster、Earth Vetala等。
赛门铁克评估认为,“浑水”自2017年起便活跃至今,并与伊朗情报和安全部(MOIS)有关联。
上个月,Deep Instinct首次披露了“浑水”使用MuddyC2Go框架,该框架基于Golang语言开发,旨在取代先前使用的PhonyC2和MuddyC3。但有证据表明,其实际应用时间可能早在2020年就已开始。
目前,MuddyC2Go的全部功能尚不清楚,但已知其包含一个PowerShell脚本,可自动连接“Seedworm”的C2服务器,为攻击者提供对受害系统远程访问,无需手动操作。
2023年11月,最新一轮攻击针对埃及、苏丹和坦桑尼亚的电信组织,除了MuddyC2Go,还使用了SimpleHelp和Venom Proxy等公开工具,以及一个定制的键盘记录器。
“浑水”的攻击链通常利用网络钓鱼邮件和未修补应用程序中的已知漏洞来获取初始访问权限,随后进行侦察、横向移动和数据收集。
赛门铁克记录的一起针对某电信组织的攻击中,“浑水”使用了MuddyC2Go启动器连接到其控制的服务器,并部署了AnyDesk和SimpleHelp等合法远程访问软件。
据悉,该组织2023年早些时候就曾入侵过同一实体,当时利用SimpleHelp运行PowerShell、部署代理软件并安装JumpCloud远程访问工具。
在另一家遭受攻击的电信和媒体公司网络中,他们发现了多次使用SimpleHelp连接到已知的“Seedworm”基础设施的事件,同时还执行了该组织定制的Venom Proxy黑客工具和新的自定义键盘记录器。
“浑水”结合自研工具、现成工具和公开工具,旨在尽可能逃避检测,实现其战略目标。该组织仍在不断创新和开发工具集,以保持其活动处于隐蔽状态。
值得注意的是,另一个与以色列相关的组织Gonjeshke Darande声称对其攻击伊朗加油站系统负责,该组织2023年10月重新活跃,被认为与以色列军事情报局有关联,此前曾对伊朗钢铁厂、加油站和铁路网络发起过破坏性攻击。
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/iranian-hacking-group-muddywater-targets-middle-eastern-telecom-companies.html
