O ator do Estado iraniano conhecido como MuddyWater utilizou uma estrutura de comando e controle (C2) recentemente descoberta, chamada MuddyC2Go, em seus ataques ao setor de telecomunicações no Egito, Sudão e Tanzânia.
A Symantec Threat Hunter Team, parte da Broadcom, está monitorando a atividade sob o nome Seedworm, que também é rastreado sob os pseudônimos Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anteriormente Mercury), Static Kitten, TEMP.Zagros e Yellow Nix.
Ativo desde pelo menos 2017, avalia-se que o MuddyWater esteja ligado ao Ministério de Inteligência e Segurança do Irã (MOIS), direcionando principalmente entidades no Oriente Médio.
O uso do MuddyC2Go pelo grupo de espionagem cibernética foi destacado pela primeira vez pelo Deep Instinct no mês passado, descrevendo-o como um substituto baseado em Golang para o PhonyC2, que por sua vez é sucessor do MuddyC3.
No entanto, há evidências para sugerir que ele pode ter sido usado já em 2020.
Embora a extensão completa das capacidades do MuddyC2Go ainda não seja conhecida, o executável vem equipado com um script PowerShell que se conecta automaticamente ao servidor C2 da Seedworm, proporcionando aos atacantes acesso remoto a um sistema vítima e eliminando a necessidade de execução manual por um operador.
O último conjunto de intrusões, que ocorreu em novembro de 2023, também foi constatado que depende do SimpleHelp e do Venom Proxy, juntamente com um keylogger personalizado e outras ferramentas publicamente disponíveis.
As cadeias de ataque montadas pelo grupo têm um histórico de uso de e-mails de phishing e vulnerabilidades conhecidas em aplicações não corrigidas para acesso inicial, seguido de reconhecimento, movimento lateral e coleta de dados.
Nos ataques documentados pela Symantec visando uma organização de telecomunicações não nomeada, o lançador MuddyC2Go foi executado para estabelecer contato com um servidor controlado pelo ator, ao mesmo tempo que implantou software de acesso remoto legítimo, como AnyDesk e SimpleHelp.
A entidade, segundo se informa, foi comprometida anteriormente pelo adversário no início de 2023, no qual o SimpleHelp foi utilizado para iniciar o PowerShell, entregar software proxy e também instalar a ferramenta de acesso remoto JumpCloud.
"Em outra empresa de telecomunicações e mídia visada pelos atacantes, vários incidentes de SimpleHelp foram usados para conectar à infraestrutura conhecida da Seedworm", notou a Symantec.
"Uma versão personalizada do hacktool Venom Proxy também foi executada nesta rede, assim como o novo keylogger personalizado utilizado pelos atacantes nesta atividade."
Ao utilizar uma combinação de ferramentas sob medida, aproveitando o ambiente e disponíveis publicamente em suas cadeias de ataque, o objetivo é evadir a detecção pelo maior tempo possível para atender a seus objetivos estratégicos, disse a empresa.
"O grupo continua a inovar e desenvolver seu conjunto de ferramentas quando necessário para manter sua atividade fora do radar", concluiu a Symantec.
"O grupo ainda faz uso intensivo do PowerShell e ferramentas e scripts relacionados ao PowerShell, ressaltando a necessidade de as organizações estarem atentas ao uso suspeito do PowerShell em suas redes."
A revelação acontece logo após um grupo vinculado a Israel, chamado Gonjeshke Darande (significando "Sparrow Predatório" em persa), reinvindicar a responsabilidade por um ataque cibernético que interrompeu a "maioria das bombas de gasolina em todo o Irã" em resposta à "agressão da Republica Islâmica e seus representantes na região".
O grupo, que reapareceu em outubro de 2023 após ficar inativo por quase um ano, acredita-se estar ligado à Direção de Inteligência Militar de Israel, tendo realizado ataques destrutivos no Irã, incluindo instalações de aço, postos de gasolina e redes ferroviárias no país.
O assalto cibernético também segue um conselho do Israel National Cyber Directorate (INCD) que acusou o Irã e o grupo pró-Hamas Hezbollah de tentarem sem sucesso interromper o Hospital Ziv, atribuindo o ataque aos atores criminosos chamados Agrius e Lebanese Cedar.
"Diz-se que o ataque foi executado pelo Ministério de Inteligência Iraniano com o envolvimento das unidades cibernéticas 'Lebanese Cedar' do Hezbollah sob a liderança de Mohammad Ali Merhi", disse o INCD.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...