イランの国家レベルのサイバースパイ組織「マディ・ウォーターズ」。マディーウォーターというプログラムを使って再登場した。MuddyC2Goエジプト、スーダン、タンザニアの通信セクターを対象とした新たな指揮統制の枠組み」。
Symantec Threat Huntersチームは、このイベントを"種虫".同組織は以前にも、ボギー・サーペンス、コバルト・アルスター、アース・ベタラといったコードネームで中東で活動していた。
シマンテックは、Muddy Watersは2017年から活動しており、イランの諜報保安省(MOIS)とつながっていると評価している。
ディープ・インスティンクトは先月、マディ・ウォーターズがMuddyC2Goフレームワークを使用していることを初めて明らかにした。MuddyC2GoはGolang言語をベースにしており、これまで使用されていたPhonyC2やMuddyC3を置き換えることを意図しているが、その証拠に、早ければ2020年にも実用化が始まる可能性がある。始まる。
MuddyC2Goの全機能は現在のところ不明だが、以下のものが含まれていることが知られている。パワーシェルSeedwormのC2サーバーに自動的に接続するスクリプトで、攻撃者は手動で操作することなく被害者のシステムにリモートアクセスできる。
2023年11月、最新の攻撃はエジプト、スーダン、タンザニアの通信組織を標的とし、MuddyC2Goに加えてSimpleHelpやVenom Proxyといった一般に入手可能なツールや、カスタマイズされたキーロガーを使用した。
"マディ・ウォーターズ "の攻撃チェーンは通常、インターネットを利用する。フィッシングメールパッチを適用していないアプリケーションの既知の脆弱性を利用して初期アクセスを行い、その後、偵察、横移動、データ収集を行う。
Symantec が記録した電気通信組織に対する攻撃では、Muddy Waters は MuddyC2Go イニシエータを使用して自社の管理下にあるサーバーに接続し、AnyDesk や SimpleHelp などの正規のリモートアクセスソフトウェアを展開しました。
SimpleHelpは、PowerShellの実行、プロキシソフトウェアの展開、リモートアクセスツールJumpCloudのインストールに使用された。
攻撃された別の通信・メディア企業のネットワークでは、SimpleHelpが既知の "Seedworm "インフラに接続するために使用され、その組織のカスタマイズされたVenom Proxyが実行されるという複数のインシデントが見つかった。ハッカーツールと新しいカスタム・キーロガー。
「マディ・ウォーターズは、その戦略的目標を達成するために、可能な限り発見を回避するように設計された、自社開発、既製品、および一般に入手可能なツールを組み合わせて使用している。同組織は、活動を隠蔽し続けるために、ツールセットの革新と開発を続けている。
注目すべきは、イランのガソリンスタンドシステムへの攻撃の責任を主張した、イスラエルとつながりのある別の組織、ゴンジェシュケ・ダランデが2023年10月に再活動し、イスラエル軍事情報とつながっていると考えられていることで、以前にもイランの製鉄所、ガソリンスタンド、鉄道網に破壊的な攻撃を仕掛けている。
元記事はChief Security Officerによるもので、転載の際はhttps://www.cncso.com/jp/iranian-hacking-group-muddywater-targets-middle-eastern-telecom-companies.html。
