Mısır, Sudan ve Tanzanya’daki telekomünikasyon şirketleri, Muddywater olarak bilinen İranlı casusluk grubu Seedworm’un hedefi oldu.
Saldırı Kasım 2023’te gerçekleşti ve saldırganlar, yakın zamanda bulunan ve Deep Instinct tarafından yayınlanan MuddyC2Go altyapısı da dahil olmak üzere bir dizi araç kullandı.
Saldırganlar, kamuya açık diğer ve arazi dışında yaşayan araçların yanı sıra, geçmişte Seedworm faaliyetleriyle bağlantılı olan özel bir keylogging aracı, SimpleHelp uzaktan erişim aracı ve Venom Proxy’yi de kullanıyor.
MuddyC2Go Çerçevesi ve Kullanılan Özel Keylogger
Belirli bir telekom şirketini hedef alan bu kampanyadaki saldırılar Kasım 2023’te gerçekleşti. Kötü niyetli davranışın ilk belirtileri, MuddyC2Go arka kapısına bağlı belirli PowerShell yürütmeleriydi.
Symantec’in Tehdit Avcısı Ekibine göre, komuta ve kontrol (C&C) sunucusuyla bağlantı kurmak için MuddyC2Go başlatıcısı aşağıdaki PowerShell kodunu çalıştırdı:
Kodun ilk aşamasındaki değişkenler, ilgisiz oldukları ve kullanılmadıkları için yalnızca güvenlik yazılımı tarafından tespit edilmekten kaçınmak için orada görünüyorlar.
Saldırganlar, bu yürütmenin hemen ardından MuddyC2Go kötü amaçlı yazılımını başlatmak için önceden oluşturulmuş zamanlanmış bir görevi kullandı. Ayrıca saldırganlar, Impacket WMIExec hack aracıyla ilişkili birkaç standart talimat kullandı.
SimpleHelp uzaktan erişim aracı kullanılarak 146.70.124 adresindeki C&C sunucusuna bağlantı kuruldu.[.]102.
Saldırganın Revsocks aracını çalıştırmasıyla eşzamanlı olarak ek PowerShell aşamalandırıcı yürütmesi gerçekleştirildi.
Saldırganlar, Revsocks ve SimpleHelp ile aynı bilgisayarda ikinci bir yetkili uzaktan erişim uygulaması olan AnyDesk’i de kullandı. MuddyC2Go ile ilgili PowerShell yürütmeleri de aynı sistem üzerinde gerçekleştirildi.
Saldırganların 2023’ün başlarında kurban ağında SimpleHelp yükleyicisini başlatmak için WMI’yı kullandıkları tahmin ediliyor. Her ne kadar bu davranış o sırada Seedworm ile ilişkilendirilemese de, önceki aktiviteden aynı saldırgan grubunun sorumlu olduğu görülüyor.
Başka bir olayda, saldırganlar ek olarak yeni bir özel keylogger kullandılar ve ayrıca bu ağ üzerinde Venom Proxy hack aracının özelleştirilmiş bir yapısını çalıştırdılar.
Kurban makinelerde kalıcılık sağlamak için bu aktivitede güvenilir bir uzaktan cihaz kontrolü ve yönetim uygulaması olan SimpleHelp kullanılır.
Venom Proxy adı verilen açık kaynaklı program, “penetrasyon testçileri için geliştirilmiş çok atlamalı bir proxy aracı” olarak anılıyor. Go’da yazıyor. Çok katmanlı bir intranet için intranet düğümlerini ve proxy ağ trafiğini kolaylıkla yönetmek için kullanılabilir.
Bu aktivitede kullanılan diğer araçlar arasında Revsocks, AnyDesk, PowerShell ve Custom keylogger bulunmaktadır.
Araştırmacılar, “MuddyC2Go’nun tüm yetenekleri henüz bilinmiyor, ancak yürütülebilir dosya, Seedworm’un C&C sunucusuna otomatik olarak bağlanan, bir operatörün manuel yürütme ihtiyacını ortadan kaldıran ve saldırganlara kurban bir makineye uzaktan erişim sağlayan gömülü bir PowerShell betiği içeriyor” dedi. söz konusu.
Bu, işletmelerin ağlarındaki olağandışı PowerShell kullanımına karşı dikkatli olmasının ne kadar önemli olduğunu vurguluyor.