%20Center%20Uncovered.webp "PhonyC2 ÇamurluSu")
Son zamanlarda, Deep Instinct’teki güvenlik analistleri tarafından, İran devlet destekli bir grup olan MuddyWater’ın (aka Mango Sandstorm ve Mercury) 2021’den beri “PhonyC2” olarak adlandırılan yeni bir komuta ve kontrol çerçevesi kullandığı bulundu.
Aktif olarak geliştirilmiş bir çerçeve olan PhonyC2, Technion saldırısında (Şubat 2023) kullanıldı ve MuddyWater, tespit edilmekten kaçınmak için PhonyC2’yi güncellemeye ve TTP’leri değiştirmeye devam ediyor.
.png
)
Sosyal mühendislikten yararlanan MuddyWater, birincil erişim noktası olarak yamalı sistemleri ihlal eder. Deep Instinct’in tehdit araştırma ekibi, Nisan 2023’te PhonyC2_v6.zip arşivinde üç kötü amaçlı PowerShell betiği keşfetti.
MuddyWater’ın Yeni Sahtekarlığı C2
2017’den beri İran’ın MOIS’iyle bağlantılı bir siber casusluk grubu olan MuddyWater ve Microsoft, onları hibrit ortamlara yönelik yıkıcı saldırılara ve Storm-1084 ile aşağıdakiler için işbirliğine dahil etti:-
- Keşif
- sebat
- Yanal hareket
İran, istihbarat toplamak için jeopolitik rakipler de dahil olmak üzere, öncelikle komşu devletleri hedef alan stratejik siber operasyonlar yürütüyor. Aşağıda, öncelikle odaklanılan rakiplerden bahsetmiştik:-
- İsrail
- Suudi Arabistan
- Arap Körfez ülkeleri
Sicehice (30’dan fazla kaynaktan siber tehdit istihbaratı toplamayı otomatikleştiren ve kullanıcılar için IP aramayı kolaylaştıran bir kuruluş), PhonyC2 zip dosyasının yanı sıra, tehdit aktörleri tarafından yürütülen komutları ifşa eden “.bash_history” dosyası da dahil olmak üzere daha fazla sunucu dosyası paylaştı.
Şüphe, sunucudaki bilinen MuddyWater araçları ve bunların tanınan IP adresleriyle iletişim nedeniyle ortaya çıkıyor ve PhonyC2’yi çerçeve olarak öneriyor.
Grup, diğer İran bağlantılı izinsiz giriş setlerine benzer şekilde, hedeflenen çıkarları ihlal etmek için birincil erişim noktaları olarak savunmasız kamu sunucularını ve sosyal mühendisliği kullanarak saldırı zincirlerini yönetiyor.
Sosyal mühendislik, İran’ın siber casusluk ve bilgi operasyonları için APT ticaretinde hayati bir rol oynuyor. Nisan 2023’te Deep Instinct, PhonyC2 çerçevesini MuddyWater’ın bu yılki Technion saldırısında kullanılan daha geniş altyapısına bağlı bir sunucuda buldu.
En son sürüm olan PhonyC2, Python3’te yazılmıştır ve MuddyWater’ın önceki bir özel C2 çerçevesi olan Python2 tabanlı MuddyC3 ile yapısal ve işlevsel benzerlikler paylaşmaktadır.
MuddyC3 (Kaynak – Derin İçgüdü)
“C:\programdata\db.sqlite” ve “C:\programdata\db.ps1” yapı adları MuddyWater’a bağlanır ve Microsoft bunları özelleştirilmiş PowerShell arka kapıları olarak etiketledi. Aksine, bu arka kapılar, virüs bulaşmış ana bilgisayarlarda yürütülmek üzere PhonyC2 aracılığıyla dinamik olarak oluşturulur.
İstismar sonrası bir çerçeve olan PhonyC2, son izinsiz giriş adımları için C2’ye bağlanan yükler oluşturur. Tehdit istihbarat araştırmacısı, Simon Kenin MuddyC3 ve POWERSTATS’ın halefi olduğunu belirtiyor.
Desteklenen Komutlar
Aşağıda, çerçeve tarafından desteklenen tüm komutlardan bahsetmiştik: –
- yük
- damla
- Ex3cut3
- liste
- her şeyi ayarla
- kullanmak
- devam etmek
Çerçeve, operatör için kurban makineye ilk erişimi gerektiren çeşitli PowerShell yükleri oluşturur.
C2, MuddyWater’ın gizliliği ve kurbanlardan veri toplaması için çok önemli olan saldırının ilk ve son aşamaları arasında köprü kurar. Sadece bu da değil, aynı zamanda büyük saldırılarda birden fazla özel C2 çerçevesi kullanıyorlar.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.