Иранское национальное государство, известное как MuddyWater, использовало недавно обнаруженную систему командования и контроля (C2) под названием MuddyC2Go в своих атаках на телекоммуникационный сектор в Египте, Судане и Танзании.
Команда Symantec Threat Hunter, входящая в состав Broadcom, отслеживает активность под названием Seedworm, которая также отслеживается под псевдонимами Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (ранее Mercury), Static Kitten, TEMP.Zagros и Yellow Nix.
По оценкам, MuddyWater, действующая как минимум с 2017 года, связана с Министерством разведки и безопасности Ирана (MOIS), в первую очередь с организациями на Ближнем Востоке.
Использование группой кибершпионажа MuddyC2Go впервые было отмечено Deep Instinct в прошлом месяце, описав его как замену PhonyC2 на Golang, который сам по себе является преемником MuddyC3. Однако есть основания полагать, что он мог быть использован уже в 2020 году.
Хотя полный масштаб возможностей MuddyC2Go пока неизвестен, исполняемый файл поставляется со скриптом PowerShell, который автоматически подключается к серверу C2 Seedworm, тем самым предоставляя злоумышленникам удаленный доступ к системе жертвы и устраняя необходимость ручного выполнения оператором.
Было обнаружено, что последняя серия вторжений, произошедшая в ноябре 2023 года, также опирается на SimpleHelp и Venom Proxy, наряду с пользовательским кейлоггером и другими общедоступными инструментами.
Цепочки атак, организованные группой, имеют послужной список использования фишинговых электронных писем и известных уязвимостей в незащищенных приложениях для получения первоначального доступа с последующим проведением разведки, бокового перемещения и сбора данных.
В ходе атак, задокументированных Symantec, нацеленных на неназванную телекоммуникационную организацию, программа запуска MuddyC2Go была запущена для установления контакта с сервером, контролируемым участником, при одновременном развертывании законного программного обеспечения удаленного доступа, такого как AnyDesk и SimpleHelp.
Говорят, что организация была ранее скомпрометирована злоумышленником ранее в 2023 году, когда SimpleHelp использовался для запуска PowerShell, доставки прокси-программного обеспечения, а также установки инструмента удаленного доступа JumpCloud.
"В другой телекоммуникационной и медиакомпании, ставшей мишенью злоумышленников, были использованы множественные инциденты с SimpleHelp для подключения к известной инфраструктуре Seedworm", - отметили в Symantec. "В этой сети также была выполнена пользовательская сборка хакерского инструмента Venom Proxy, а также нового пользовательского кейлоггера, используемого злоумышленниками в этой деятельности".
Цель состоит в том, чтобы как можно дольше оставаться незамеченным для достижения своих стратегических целей, используя в своих цепочках атак сочетание специализированных инструментов, позволяющих жить за пределами страны, и общедоступных инструментов.
"Группа продолжает внедрять инновации и развивать свой набор инструментов, когда это необходимо, чтобы держать свою деятельность в поле зрения", - заключила Symantec. "Группа по-прежнему активно использует PowerShell и связанные с PowerShell инструменты и скрипты, подчеркивая необходимость того, чтобы организации знали о подозрительном использовании PowerShell в своих сетях".
Развитие событий происходит после того, как связанная с Израилем группа под названием Gonjeshke Darande (что в переводе с персидского означает "Хищный воробей") взяла на себя ответственность за кибератаку, которая вывела из строя "большинство газовых насосов по всему Ирану" в ответ на "агрессию Исламской Республики и ее ставленников в регионе".
Считается, что группа, которая вновь возникла в октябре 2023 года после почти годичного затишья, связана с Управлением военной разведки Израиля и проводила разрушительные атаки в Иране, включая металлургические предприятия, автозаправочные станции и железнодорожные сети в стране.
Команда Symantec Threat Hunter, входящая в состав Broadcom, отслеживает активность под названием Seedworm, которая также отслеживается под псевдонимами Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (ранее Mercury), Static Kitten, TEMP.Zagros и Yellow Nix.
По оценкам, MuddyWater, действующая как минимум с 2017 года, связана с Министерством разведки и безопасности Ирана (MOIS), в первую очередь с организациями на Ближнем Востоке.
Использование группой кибершпионажа MuddyC2Go впервые было отмечено Deep Instinct в прошлом месяце, описав его как замену PhonyC2 на Golang, который сам по себе является преемником MuddyC3. Однако есть основания полагать, что он мог быть использован уже в 2020 году.
Хотя полный масштаб возможностей MuddyC2Go пока неизвестен, исполняемый файл поставляется со скриптом PowerShell, который автоматически подключается к серверу C2 Seedworm, тем самым предоставляя злоумышленникам удаленный доступ к системе жертвы и устраняя необходимость ручного выполнения оператором.
Было обнаружено, что последняя серия вторжений, произошедшая в ноябре 2023 года, также опирается на SimpleHelp и Venom Proxy, наряду с пользовательским кейлоггером и другими общедоступными инструментами.
Цепочки атак, организованные группой, имеют послужной список использования фишинговых электронных писем и известных уязвимостей в незащищенных приложениях для получения первоначального доступа с последующим проведением разведки, бокового перемещения и сбора данных.
В ходе атак, задокументированных Symantec, нацеленных на неназванную телекоммуникационную организацию, программа запуска MuddyC2Go была запущена для установления контакта с сервером, контролируемым участником, при одновременном развертывании законного программного обеспечения удаленного доступа, такого как AnyDesk и SimpleHelp.
Говорят, что организация была ранее скомпрометирована злоумышленником ранее в 2023 году, когда SimpleHelp использовался для запуска PowerShell, доставки прокси-программного обеспечения, а также установки инструмента удаленного доступа JumpCloud.
"В другой телекоммуникационной и медиакомпании, ставшей мишенью злоумышленников, были использованы множественные инциденты с SimpleHelp для подключения к известной инфраструктуре Seedworm", - отметили в Symantec. "В этой сети также была выполнена пользовательская сборка хакерского инструмента Venom Proxy, а также нового пользовательского кейлоггера, используемого злоумышленниками в этой деятельности".
Цель состоит в том, чтобы как можно дольше оставаться незамеченным для достижения своих стратегических целей, используя в своих цепочках атак сочетание специализированных инструментов, позволяющих жить за пределами страны, и общедоступных инструментов.
"Группа продолжает внедрять инновации и развивать свой набор инструментов, когда это необходимо, чтобы держать свою деятельность в поле зрения", - заключила Symantec. "Группа по-прежнему активно использует PowerShell и связанные с PowerShell инструменты и скрипты, подчеркивая необходимость того, чтобы организации знали о подозрительном использовании PowerShell в своих сетях".
Развитие событий происходит после того, как связанная с Израилем группа под названием Gonjeshke Darande (что в переводе с персидского означает "Хищный воробей") взяла на себя ответственность за кибератаку, которая вывела из строя "большинство газовых насосов по всему Ирану" в ответ на "агрессию Исламской Республики и ее ставленников в регионе".
Считается, что группа, которая вновь возникла в октябре 2023 года после почти годичного затишья, связана с Управлением военной разведки Израиля и проводила разрушительные атаки в Иране, включая металлургические предприятия, автозаправочные станции и железнодорожные сети в стране.
