Atuantes iranianos patrocinados pelo estado foram observados usando um framework de comando e controle (C2) anteriormente não documentado, chamado MuddyC2Go, como parte de ataques direcionados a Israel.
"A componente web do framework está escrita na linguagem de programação Go", disse Simon Kenin, pesquisador de segurança do Deep Instinct, em um relatório técnico publicado na quarta-feira.
A ferramenta foi atribuída ao MuddyWater, uma equipe de hacking patrocinada pelo estado iraniano que está afiliada ao Ministério de Inteligência e Segurança (MOIS) do país.
A empresa de cibersegurança afirmou que o framework C2 pode ter sido usado pelo agente de ameaças desde o início de 2020, com ataques recentes o utilizando no lugar do PhonyC2, outra plataforma C2 personalizada do MuddyWater que veio à tona em junho de 2023 e teve seu código fonte vazado.
Sequências de ataques típicas observadas ao longo dos anos envolveram o envio de emails de spear-phishing contendo arquivos anexados com malware ou links falsos que levam à implantação de ferramentas legítimas de administração remota.
A instalação do software de administração remota prepara o terreno para a entrega de payloads, incluindo o PhonyC2.
O modus operandi do MuddyWater desde então recebeu uma reforma, usando arquivos protegidos por senha para evitar soluções de segurança de email e distribuindo um executável em vez de uma ferramenta de administração remota.
"Este executável contém um script PowerShell embutido que se conecta automaticamente ao C2 do MuddyWater, eliminando a necessidade de execução manual pelo operador", explicou Kenin.
O servidor MuddyC2Go, em retorno, envia um script PowerShell, que é executado a cada 10 segundos e aguarda mais comandos do operador.
Embora a extensão completa das características do MuddyC2Go seja desconhecida, suspeita-se que seja um framework responsável por gerar payloads de PowerShell para realizar atividades pós-exploração.
"Recomendamos desativar o PowerShell se não for necessário", disse Kenin.
"Se estiver ativado, recomendamos um monitoramento próximo da atividade do PowerShell."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...