İranlı ulus devlet aktörü Çamurlu su Mısır, Sudan ve Tanzanya’daki telekomünikasyon sektörüne yönelik saldırılarında MuddyC2Go adı verilen yeni keşfedilen komuta ve kontrol (C2) çerçevesinden yararlandı.
Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, etkinliği Seedworm adı altında izliyor ve bu aynı zamanda Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (eski adıyla Mercury), Static Kitten, TEMP.Zagros takma adlarıyla da takip ediliyor. ve Sarı Nix.
En az 2017’den bu yana aktif olan MuddyWater’ın İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı olduğu değerlendiriliyor ve öncelikle Orta Doğu’daki kuruluşlar öne çıkıyor.
Siber casusluk grubunun MuddyC2Go kullanımı ilk kez geçen ay Deep Instinct tarafından vurgulanmış ve bunun MuddyC3’ün halefi olan PhonyC2’nin Golang tabanlı bir alternatifi olduğu açıklanmıştı. Ancak bunun 2020 gibi erken bir tarihte kullanılmış olabileceğini gösteren kanıtlar var.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
MuddyC2Go’nun yeteneklerinin tam kapsamı henüz bilinmemekle birlikte, yürütülebilir dosya, Seedworm’un C2 sunucusuna otomatik olarak bağlanan bir PowerShell betiğiyle donatılmış olarak geliyor, böylece saldırganlara kurban sistemine uzaktan erişim sağlıyor ve bir operatörün manuel yürütme ihtiyacını ortadan kaldırıyor.
Kasım 2023’te gerçekleştirilen en son izinsiz girişlerin, özel bir keylogger ve diğer halka açık araçların yanı sıra SimpleHelp ve Venom Proxy’ye de dayandığı ortaya çıktı.
Grup tarafından oluşturulan saldırı zincirleri, ilk erişim için kimlik avı e-postalarını ve yama yapılmamış uygulamalardaki bilinen güvenlik açıklarını silah haline getirme konusunda bir geçmiş performansa sahiptir ve ardından keşif, yanal hareket ve veri toplama gerçekleştirilir.
Symantec tarafından isimsiz bir telekomünikasyon kuruluşunu hedef alan saldırılarda MuddyC2Go başlatıcısı, aktör kontrollü bir sunucuyla bağlantı kurmak için yürütülürken, aynı zamanda AnyDesk ve SimpleHelp gibi yasal uzaktan erişim yazılımlarını da kullanıyordu.
Varlığın daha önce 2023’ün başlarında düşman tarafından ele geçirildiği ve SimpleHelp’in PowerShell’i başlatmak, proxy yazılımı sunmak ve ayrıca JumpCloud uzaktan erişim aracını yüklemek için kullanıldığı söyleniyor.
Symantec, “Saldırganların hedef aldığı başka bir telekomünikasyon ve medya şirketinde, bilinen Seedworm altyapısına bağlanmak için birden fazla SimpleHelp olayı kullanıldı.” dedi. “Bu ağda, saldırganların bu etkinlikte kullandığı yeni özel keylogger’ın yanı sıra Venom Proxy hacktool’un özel bir yapısı da yürütüldü.”
Şirket, saldırı zincirlerinde ısmarlama, arazide yaşayan ve kamuya açık araçların bir kombinasyonunu kullanarak, stratejik hedeflerine ulaşmak için hedefin mümkün olduğu kadar uzun süre tespit edilmekten kaçınmak olduğunu söyledi.
Symantec sözlerini şöyle tamamladı: “Grup, faaliyetlerini radar altında tutmak için gerektiğinde araç setini yenilemeye ve geliştirmeye devam ediyor.” “Grup hala PowerShell ve PowerShell ile ilgili araçları ve komut dosyalarını yoğun bir şekilde kullanıyor ve kuruluşların ağlarında PowerShell’in şüpheli kullanımı konusunda dikkatli olmaları gerektiğinin altını çiziyor.”
Gelişme, Gonjeshke Darande (Farsça’da “Yırtıcı Serçe” anlamına geliyor) adlı İsrail bağlantılı bir grup olarak geliyor. talep edildi “İslam Cumhuriyeti ve onun bölgedeki vekillerinin saldırganlığına” yanıt olarak “İran genelindeki gaz pompalarının çoğunu” bozan bir siber saldırının sorumluluğu.
Yaklaşık bir yıl sessiz kaldıktan sonra Ekim 2023’te yeniden ortaya çıkan grubun, İran’daki çelik tesisleri, benzin istasyonları ve ülkedeki demiryolu ağları da dahil olmak üzere yıkıcı saldırılar düzenleyen İsrail Askeri İstihbarat Müdürlüğü ile bağlantılı olduğuna inanılıyor.