De MuddyC3 para PhonyC2: A evolução do MuddyWater do Irã com uma nova arma cibernética
30 de Junho de 2023

O grupo patrocinado pelo estado iraniano conhecido como MuddyWater foi atribuído a um framework de comando e controle (C2) nunca antes visto chamado PhonyC2, que vem sendo utilizado pelo grupo desde 2021.

Evidências mostram que o framework personalizado, ativamente desenvolvido, foi utilizado no ataque de fevereiro de 2023 contra o Technion, um instituto de pesquisa israelense, segundo relatório da empresa de cibersegurança Deep Instinct compartilhado com o The Hacker News.

Além disso, foram descobertas outras conexões entre o programa baseado em Python 3 e outros ataques realizados pelo MuddyWater, incluindo a exploração contínua de servidores PaperCut.

"Ele é estrutural e funcionalmente semelhante ao MuddyC3, um framework C2 personalizado anterior do MuddyWater que foi escrito em Python 2", disse o pesquisador de segurança Simon Kenin.

"O MuddyWater está constantemente atualizando o framework PhonyC2 e alterando suas táticas, técnicas e procedimentos para evitar detecção".

O MuddyWater, também conhecido como Mango Sandstorm (anteriormente Mercury), é um grupo de ciberespionagem que é conhecido por operar em nome do Ministério de Inteligência e Segurança do Irã (MOIS) desde pelo menos 2017.

As descobertas surgem quase três meses depois que a Microsoft implicou o ator de ameaça por realizar ataques destrutivos em ambientes híbridos, também denunciando sua colaboração com um grupo relacionado rastreado como Storm-1084 (também conhecido como DEV-1084 ou DarkBit) para reconhecimento, persistência e movimento lateral.

"O Irã realiza operações cibernéticas com o objetivo de coleta de inteligência para fins estratégicos, visando essencialmente estados vizinhos, em particular os rivais geopolíticos do Irã, como Israel, Arábia Saudita e países do Golfo Árabe, um foco contínuo observado em todas as operações desde 2011", disse a empresa francesa de cibersegurança Sekoia em uma visão geral dos ataques cibernéticos pró-governo iraniano.

As cadeias de ataque orquestradas pelo grupo, assim como outros conjuntos de intrusões relacionadas ao Irã, utilizam servidores vulneráveis de acesso público e engenharia social como principais pontos de acesso inicial para atingir os alvos de interesse.

"Isso inclui o uso de marionetes carismáticas, a oferta de oportunidades de emprego em potencial, a solicitação por jornalistas e disfarces de especialistas em think tanks em busca de opiniões", observou o Recorded Future no ano passado.

"O uso de engenharia social é um componente central da técnica de ofuscação avançada de ameaças persistentes avançadas iranianas ao se envolver em ciberespionagem e operações de informações".

A Deep Instinct disse que descobriu o framework PhonyC2 em abril de 2023 em um servidor relacionado à infraestrutura mais ampla utilizada pelo MuddyWater em seu ataque ao Technion no início deste ano.

O mesmo servidor também foi encontrado hospedando o Ligolo, uma ferramenta essencial de túnel reverso usada pelo ator de ameaça.

A conexão vem dos nomes dos artefatos "C:\programdata\db.sqlite" e "C:\programdata\db.ps1", que a Microsoft descreveu como backdoors personalizados do PowerShell usados pelo MuddyWater e que são gerados dinamicamente por meio do framework PhonyC2 para execução no host infectado.

PhonyC2 é um "framework de pós-exploração usado para gerar vários payloads que se conectam de volta ao C2 e aguardam instruções do operador para conduzir a etapa final da 'cadeia de invasão'", disse Kenin, chamando-o de sucessor do MuddyC3 e POWERSTATS.

Alguns dos comandos importantes suportados pelo framework são os seguintes:
- payload: Gerar os payloads adicionais "C:\programdata\db.sqlite" e "C:\programdata\db.ps1", bem como um comando PowerShell para executar db.ps1, que, por sua vez, executa db.sqlite
- droper: Criar diferentes variantes de comandos PowerShell para gerar "C:\programdata\db.sqlite" ao se conectar ao servidor C2 e gravar o conteúdo codificado enviado pelo servidor no arquivo
- Ex3cut3: Criar diferentes variantes de comandos PowerShell para gerar "C:\programdata\db.ps1" - um script que contém a lógica para decodificar db.sqlite - e a fase final
- list: Enumerar todas as máquinas conectadas ao servidor C2
setcommandforall: Executar o mesmo comando em todos os hosts conectados simultaneamente
- use: Obter um shell do PowerShell em um computador remoto para executar mais comandos
- persist: Gerar um código PowerShell para permitir que o operador obtenha persistência no host infectado, para que ele se conecte de volta ao servidor após reiniciar.

"O framework gera para os operadores diferentes payloads do PowerShell", disse Mark Vaitzman, líder da equipe de pesquisa de ameaças da Deep Instinct ao The Hacker News.

"O operador precisa ter acesso inicial a uma máquina da vítima para executá-las.

Algumas dos payloads gerados se conectam de volta ao servidor do operador C2 para permitir a persistência".

O MuddyWater está longe de ser o único grupo de estado-nação iraniano a direcionar seus olhos para Israel.

Nos últimos meses, várias entidades no país foram alvo de pelo menos três atores diferentes, como Charming Kitten (também conhecido como APT35), Imperial Kitten (também conhecido como Tortoiseshell) e Agrius (também conhecido como Pink Sandstorm).

"O C2 é o que conecta a fase inicial do ataque à etapa final", disse Vaitzman.

"Para o MuddyWater, o framework C2 é muito importante, pois permite que eles permaneçam furtivos e coletem dados das vítimas.

Este não é o primeiro nem o último framework C2 personalizado que eles usam durante ataques importantes".

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...