Иранская государственная организация кибершпионажа Muddy Waters.MuddyWater) всплыл на поверхность, используя программу под названием "MuddyC2Go"Новая система управления и контроля, нацеленная на телекоммуникационный сектор в Египте, Судане и Танзании".
Команда Symantec Threat Hunters назвала это событие "Посевной червь". Ранее организация также действовала на Ближнем Востоке под такими кодовыми названиями, как Boggy Serpens, Cobalt Ulster и Earth Vetala.
По оценке Symantec, Muddy Waters действует с 2017 года и связан с Министерством разведки и безопасности Ирана (MOIS).
В прошлом месяце компания Deep Instinct впервые рассказала об использовании Muddy Waters фреймворка MuddyC2Go, который основан на языке Golang и призван заменить ранее использовавшиеся PhonyC2 и MuddyC3, но, судя по имеющимся данным, его практическое применение может начаться уже в 2020 году. Начало.
Полные возможности MuddyC2Go на данный момент неизвестны, но известно, что он содержитPowerShellСкрипт, который автоматически подключается к серверу C2 Seedworm, предоставляя злоумышленникам удаленный доступ к системе жертвы без необходимости ручного вмешательства.
В ноябре 2023 года последняя серия атак была направлена на телекоммуникационные организации в Египте, Судане и Танзании. Для этого использовались общедоступные инструменты SimpleHelp и Venom Proxy в дополнение к MuddyC2Go, а также специализированный кейлоггер.
"Цепочка атак Muddy Waters обычно использует Интернет.фишинговое письмои известных уязвимостей в непропатченных приложениях для получения первоначального доступа, а затем - разведки, перемещения в стороны и сбора данных.
В атаке на телекоммуникационную организацию, задокументированной Symantec, Muddy Waters использовала инициатор MuddyC2Go для подключения к контролируемым ею серверам и развертывала легитимное ПО удаленного доступа, такое как AnyDesk и SimpleHelp.
Известно, что ранее, в 2023 году, организация уже взламывала этот же объект, когда SimpleHelp использовался для запуска PowerShell, развертывания прокси-программ и установки инструмента удаленного доступа JumpCloud.
В сети другой атакованной телекоммуникационной и медиакомпании они обнаружили многочисленные случаи использования SimpleHelp для подключения к известной инфраструктуре "Seedworm", а также выполнение специализированного Venom Proxy.хакеринструменты и новый пользовательский кейлоггер.
"Мадди Уотерс" использует комбинацию собственных разработок, готовых и общедоступных инструментов, призванных максимально ускользнуть от обнаружения для достижения своих стратегических целей. Организация продолжает внедрять инновации и развивать свой набор инструментов, чтобы сохранить свою деятельность в тайне.
Примечательно, что другая связанная с Израилем организация, Gonjeshke Darande, которая взяла на себя ответственность за атаки на иранские АЗС, была вновь активизирована в октябре 2023 года и, как считается, связана с израильской военной разведкой, ранее совершив разрушительные атаки на сталелитейные заводы, АЗС и железнодорожную сеть Ирана.
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://www.cncso.com/ru/iranian-hacking-group-muddywater-targets-middle-eastern-telecom-companies.html.
