이란의 국가 차원의 사이버 첩보 조직인 머디 워터스.머디워터)라는 프로그램을 사용하여 다시 등장했습니다.MuddyC2Go"이집트, 수단, 탄자니아의 통신 부문을 대상으로 하는 새로운 명령 및 제어 프레임워크입니다.
시만텍 위협 헌터스 팀은 이 이벤트의 이름을 "씨앗벌레". 이 조직은 이전에도 중동 지역에서 Boggy Serpens, Cobalt Ulster, Earth Vetala와 같은 코드네임으로 활동한 적이 있습니다.
시만텍은 머디 워터스가 2017년부터 활동했으며 이란 정보보안부(MOIS)와 연계되어 있다고 평가합니다.
지난달, 딥 인스팅트는 머디 워터스가 골랑 언어를 기반으로 하며 이전에 사용하던 포니C2와 머디C3를 대체하기 위한 머디C2Go 프레임워크를 사용한다고 처음 공개했지만, 실제 적용은 빠르면 2020년부터 시작될 수 있다는 증거가 있습니다. 시작하기.
MuddyC2Go의 전체 기능은 현재 알려지지 않았지만, 다음과 같은 기능이 포함되어 있는 것으로 알려져 있습니다.파워셸시드웜의 C2 서버에 자동으로 연결되는 스크립트로, 공격자가 수동으로 개입할 필요 없이 피해 시스템에 원격으로 액세스할 수 있도록 합니다.
2023년 11월, 이집트, 수단, 탄자니아의 통신 조직을 표적으로 삼은 최신 공격은 맞춤형 키로거뿐만 아니라 SimpleHelp, Venom Proxy와 같은 공개적으로 사용 가능한 툴을 사용했습니다.
"머디 워터스 공격 체인은 일반적으로 인터넷을 사용합니다.피싱 이메일패치되지 않은 애플리케이션의 알려진 취약점을 통해 초기 액세스 권한을 획득한 후 정찰, 측면 이동, 데이터 수집을 수행합니다.
시만텍이 통신 조직을 대상으로 문서화한 공격에서 머디 워터스는 MuddyC2Go 이니시에이터를 사용하여 자신이 제어하는 서버에 연결하고 AnyDesk 및 SimpleHelp와 같은 합법적인 원격 액세스 소프트웨어를 배포했습니다.
이 조직은 2023년 초에도 동일한 조직을 침해한 것으로 알려졌는데, 당시 SimpleHelp를 사용하여 PowerShell을 실행하고 프록시 소프트웨어를 배포하고 JumpCloud 원격 액세스 도구를 설치했습니다.
공격을 받은 또 다른 통신 및 미디어 회사의 네트워크에서는 조직의 맞춤형 베놈 프록시 실행과 함께 알려진 '시드웜' 인프라에 연결하는 데 SimpleHelp가 사용된 여러 사례를 발견했습니다.해커도구와 새로운 사용자 지정 키로거를 제공합니다.
"머디 워터스는 전략적 목표를 달성하기 위해 최대한 탐지를 피하도록 설계된 자체 개발, 기성품 및 공개적으로 사용 가능한 툴을 결합합니다. 이 조직은 활동을 감추기 위해 지속적으로 혁신하고 도구 세트를 개발합니다.
특히, 이란의 주유소 시스템에 대한 공격에 대한 책임을 주장한 또 다른 이스라엘 연계 조직인 곤제슈케 다란데는 2023년 10월에 재가동되었으며, 이전에 이란의 제철소, 주유소, 철도 네트워크에 파괴적인 공격을 가한 바 있어 이스라엘 군 정보기관과 연계된 것으로 추정되고 있습니다.
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://www.cncso.com/kr/iranian-hacking-group-muddywater-targets-middle-eastern-telecom-companies.html
