Atuantes iranianos patrocinados pelo estado foram observados usando um framework de comando e controle (C2) anteriormente não documentado, chamado MuddyC2Go, como parte de ataques direcionados a Israel.
"A componente web do framework está escrita na linguagem de programação Go", disse Simon Kenin, pesquisador de segurança do Deep Instinct, em um relatório técnico publicado na quarta-feira.
A ferramenta foi atribuída ao MuddyWater, uma equipe de hacking patrocinada pelo estado iraniano que está afiliada ao Ministério de Inteligência e Segurança (MOIS) do país.
A empresa de cibersegurança afirmou que o framework C2 pode ter sido usado pelo agente de ameaças desde o início de 2020, com ataques recentes o utilizando no lugar do PhonyC2, outra plataforma C2 personalizada do MuddyWater que veio à tona em junho de 2023 e teve seu código fonte vazado.
Sequências de ataques típicas observadas ao longo dos anos envolveram o envio de emails de spear-phishing contendo arquivos anexados com malware ou links falsos que levam à implantação de ferramentas legítimas de administração remota.
A instalação do software de administração remota prepara o terreno para a entrega de payloads, incluindo o PhonyC2.
O modus operandi do MuddyWater desde então recebeu uma reforma, usando arquivos protegidos por senha para evitar soluções de segurança de email e distribuindo um executável em vez de uma ferramenta de administração remota.
"Este executável contém um script PowerShell embutido que se conecta automaticamente ao C2 do MuddyWater, eliminando a necessidade de execução manual pelo operador", explicou Kenin.
O servidor MuddyC2Go, em retorno, envia um script PowerShell, que é executado a cada 10 segundos e aguarda mais comandos do operador.
Embora a extensão completa das características do MuddyC2Go seja desconhecida, suspeita-se que seja um framework responsável por gerar payloads de PowerShell para realizar atividades pós-exploração.
"Recomendamos desativar o PowerShell se não for necessário", disse Kenin.
"Se estiver ativado, recomendamos um monitoramento próximo da atividade do PowerShell."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...