Hackers Iranianos do Grupo MuddyWater Adotam Nova Ferramenta de Comando e Controle 'DarkBeatC2' em Campanha Recente
12 de Abril de 2024

O ator de ameaças iraniano conhecido como MuddyWater foi associado a uma nova infraestrutura de command-and-control (C2) chamada DarkBeatC2, tornando-se a ferramenta mais recente em seu arsenal após SimpleHarm, MuddyC3, PhonyC2, e MuddyC2Go.

"Embora ocasionalmente mudem para uma nova ferramenta de administração remota ou alterem seu framework de C2, os métodos do MuddyWater permanecem constantes," disse o pesquisador de segurança da Deep Instinct, Simon Kenin, em um relatório técnico publicado na semana passada.

MuddyWater, também conhecido como Boggy Serpens, Mango Sandstorm e TA450, é considerado afiliado ao Ministério da Inteligência e Segurança do Irã (MOIS).

É conhecido por estar ativo pelo menos desde 2017, orquestrando ataques de spear-phishing que levam à implantação de diversas soluções legítimas de Remote Monitoring and Management (RMM) em sistemas comprometidos.

Descobertas anteriores da Microsoft mostram que o grupo tem ligações com outro cluster de atividades de ameaças iranianas rastreadas como Storm-1084 (aka DarkBit), com este último aproveitando o acesso para orquestrar ataques destrutivos de wipers contra entidades israelenses.

A campanha de ataque mais recente, cujos detalhes também foram revelados anteriormente pela Proofpoint no mês passado, começa com e-mails de spear-phishing enviados de contas comprometidas que contêm links ou anexos hospedados em serviços como Egnyte para entregar o software Atera Agent.

Um dos URLs em questão é "kinneretacil.egnyte[.]com," onde o subdomínio "kinneretacil" refere-se a "kinneret.ac.il," uma instituição educacional em Israel e cliente da Rashim, que, por sua vez, foi violada por Lord Nemesis (aka Nemesis Kitten ou TunnelVision) como parte de um ataque à cadeia de suprimentos visando o setor acadêmico no país.

Lord Nemesis é suspeito de ser uma operação de "faketivist" dirigida contra Israel.

Também vale notar que Nemesis Kitten é uma empresa contratada privada chamada Najee Technology, um subgrupo dentro de Mint Sandstorm que é apoiado pelo Corpo da Guarda Revolucionária Islâmica do Irã (IRGC).

A empresa foi sancionada pelo Tesouro dos EUA em setembro de 2022.

"Isso é importante porque se o 'Lord Nemesis' conseguiu violar o sistema de e-mail da Rashim, eles poderiam ter violado os sistemas de e-mail dos clientes da Rashim usando as contas de admin que agora sabemos que obtiveram da 'Rashim,'" explicou Kenin.

A teia de conexões levantou a possibilidade de que o MuddyWater possa ter usado a conta de e-mail associada ao Kinneret para distribuir os links, dando assim às mensagens uma ilusão de confiança e enganando os destinatários a clicarem nelas.

"Embora não conclusivo, o cronograma e o contexto dos eventos indicam uma possível passagem ou colaboração entre IRGC e MOIS para infligir o máximo de dano possível às organizações e indivíduos israelenses," Kenin acrescentou mais.

Os ataques também são notáveis por depender de um conjunto de domínios e endereços IP coletivamente apelidados de DarkBeatC2 que são responsáveis por gerenciar os endpoints infectados.

Isso é realizado por meio de código PowerShell projetado para estabelecer contato com o servidor C2 após ganhar acesso inicial por outros meios.

De acordo com descobertas independentes da Palo Alto Networks Unit 42, o ator de ameaças foi observado abusando da função AutodialDLL do Registro do Windows para carregar lateralmente uma DLL maliciosa e, finalmente, estabelecer conexões com um domínio DarkBeatC2.

O mecanismo, em particular, envolve estabelecer persistência por meio de uma tarefa agendada que executa o PowerShell para aproveitar a chave de registro AutodialDLL e carregar a DLL para framework de C2.

A empresa de cibersegurança disse que a técnica foi usada em um ataque cibernético direcionado a um alvo não nomeado no Oriente Médio.

Outros métodos adotados pelo MuddyWater para estabelecer uma conexão C2 incluem o uso de uma payload inicial entregue por e-mail de spear-phishing e explorando o carregamento lateral de DLL para executar uma biblioteca maliciosa.

Um contato bem-sucedido permite que o host infectado receba respostas do PowerShell que, por sua vez, busca mais dois scripts do PowerShell do mesmo servidor.

Enquanto um dos scripts é projetado para ler o conteúdo de um arquivo chamado "C:\ProgramData\SysInt.log" e transmiti-los para o servidor C2 via uma requisição HTTP POST, o segundo script pesquisa periodicamente o servidor para obter payloads adicionais e escreve os resultados da execução para "SysInt.log".

A natureza exata da próxima payload é atualmente desconhecida.

"Este framework é semelhante aos frameworks de C2 anteriores usados pelo MuddyWater," disse Kenin.

"O PowerShell continua sendo o 'pão com manteiga' deles."

Curious Serpens Visa o Setor de Defesa com o Backdoor FalseFont A divulgação ocorre enquanto a Unit 42 desvenda os mecanismos internos de um backdoor chamado FalseFont usado por um ator de ameaça iraniano conhecido como Peach Sandstorm (aka APT33, Curious Serpens, Elfin e Refined Kitten) em ataques direcionados aos setores aeroespacial e de defesa.

"Os atores de ameaças imitam software legítimo de recursos humanos, usando um falso processo de recrutamento de emprego para enganar as vítimas a instalarem o backdoor," disseram os pesquisadores de segurança Tom Fakterman, Daniel Frank e Jerome Tujague, descrevendo o FalseFont como "altamente direcionado."

Uma vez instalado, apresenta uma interface de login que se passa por uma empresa aeroespacial e captura as credenciais, bem como o histórico educacional e de emprego inserido pela vítima para um servidor C2 controlado pelo autor da ameaça em formato JSON.

O implante, além de seu componente de interface gráfica do usuário (GUI) para entradas de usuários, também ativa secretamente um segundo componente em segundo plano que estabelece persistência no sistema, coleta metadados do sistema e executa comandos e processos enviados do servidor C2.

Outras características do FalseFont incluem a capacidade de baixar e enviar arquivos, roubar credenciais, capturar capturas de tela, terminar processos específicos, executar comandos do PowerShell e autoatualizar o malware.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...