Hackers Iranianos Usando MuddyC2Go em Ataques de Espionagem de Telecomunicações em toda a África
20 de Dezembro de 2023

O ator do Estado iraniano conhecido como MuddyWater utilizou uma estrutura de comando e controle (C2) recentemente descoberta, chamada MuddyC2Go, em seus ataques ao setor de telecomunicações no Egito, Sudão e Tanzânia.

A Symantec Threat Hunter Team, parte da Broadcom, está monitorando a atividade sob o nome Seedworm, que também é rastreado sob os pseudônimos Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anteriormente Mercury), Static Kitten, TEMP.Zagros e Yellow Nix.

Ativo desde pelo menos 2017, avalia-se que o MuddyWater esteja ligado ao Ministério de Inteligência e Segurança do Irã (MOIS), direcionando principalmente entidades no Oriente Médio.

O uso do MuddyC2Go pelo grupo de espionagem cibernética foi destacado pela primeira vez pelo Deep Instinct no mês passado, descrevendo-o como um substituto baseado em Golang para o PhonyC2, que por sua vez é sucessor do MuddyC3.

No entanto, há evidências para sugerir que ele pode ter sido usado já em 2020.

Embora a extensão completa das capacidades do MuddyC2Go ainda não seja conhecida, o executável vem equipado com um script PowerShell que se conecta automaticamente ao servidor C2 da Seedworm, proporcionando aos atacantes acesso remoto a um sistema vítima e eliminando a necessidade de execução manual por um operador.

O último conjunto de intrusões, que ocorreu em novembro de 2023, também foi constatado que depende do SimpleHelp e do Venom Proxy, juntamente com um keylogger personalizado e outras ferramentas publicamente disponíveis.

As cadeias de ataque montadas pelo grupo têm um histórico de uso de e-mails de phishing e vulnerabilidades conhecidas em aplicações não corrigidas para acesso inicial, seguido de reconhecimento, movimento lateral e coleta de dados.

Nos ataques documentados pela Symantec visando uma organização de telecomunicações não nomeada, o lançador MuddyC2Go foi executado para estabelecer contato com um servidor controlado pelo ator, ao mesmo tempo que implantou software de acesso remoto legítimo, como AnyDesk e SimpleHelp.

A entidade, segundo se informa, foi comprometida anteriormente pelo adversário no início de 2023, no qual o SimpleHelp foi utilizado para iniciar o PowerShell, entregar software proxy e também instalar a ferramenta de acesso remoto JumpCloud.

"Em outra empresa de telecomunicações e mídia visada pelos atacantes, vários incidentes de SimpleHelp foram usados para conectar à infraestrutura conhecida da Seedworm", notou a Symantec.

"Uma versão personalizada do hacktool Venom Proxy também foi executada nesta rede, assim como o novo keylogger personalizado utilizado pelos atacantes nesta atividade."

Ao utilizar uma combinação de ferramentas sob medida, aproveitando o ambiente e disponíveis publicamente em suas cadeias de ataque, o objetivo é evadir a detecção pelo maior tempo possível para atender a seus objetivos estratégicos, disse a empresa.

"O grupo continua a inovar e desenvolver seu conjunto de ferramentas quando necessário para manter sua atividade fora do radar", concluiu a Symantec.

"O grupo ainda faz uso intensivo do PowerShell e ferramentas e scripts relacionados ao PowerShell, ressaltando a necessidade de as organizações estarem atentas ao uso suspeito do PowerShell em suas redes."

A revelação acontece logo após um grupo vinculado a Israel, chamado Gonjeshke Darande (significando "Sparrow Predatório" em persa), reinvindicar a responsabilidade por um ataque cibernético que interrompeu a "maioria das bombas de gasolina em todo o Irã" em resposta à "agressão da Republica Islâmica e seus representantes na região".

O grupo, que reapareceu em outubro de 2023 após ficar inativo por quase um ano, acredita-se estar ligado à Direção de Inteligência Militar de Israel, tendo realizado ataques destrutivos no Irã, incluindo instalações de aço, postos de gasolina e redes ferroviárias no país.

O assalto cibernético também segue um conselho do Israel National Cyber Directorate (INCD) que acusou o Irã e o grupo pró-Hamas Hezbollah de tentarem sem sucesso interromper o Hospital Ziv, atribuindo o ataque aos atores criminosos chamados Agrius e Lebanese Cedar.

"Diz-se que o ataque foi executado pelo Ministério de Inteligência Iraniano com o envolvimento das unidades cibernéticas 'Lebanese Cedar' do Hezbollah sob a liderança de Mohammad Ali Merhi", disse o INCD.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...