İranlı ulus devlet aktörü Çamurlu su Mısır, Sudan ve Tanzanya’daki telekomünikasyon sektörüne yönelik saldırılarında MuddyC2Go adı verilen yeni keşfedilen komuta ve kontrol (C2) çerçevesinden yararlandı.
Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi izleme Seedworm adı altındaki etkinlik aynı zamanda Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (eski adıyla Mercury), Static Kitten, TEMP.Zagros ve Yellow Nix isimleriyle de takip ediliyor.
En az 2017’den bu yana aktif olan MuddyWater’ın İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı olduğu değerlendiriliyor ve öncelikle Orta Doğu’daki kuruluşlar öne çıkıyor.
Siber casusluk grubunun MuddyC2Go kullanımı ilk olarak geçen ay Deep Instinct tarafından vurgulanmış ve bunun MuddyC3’ün halefi olan PhonyC2’nin Golang tabanlı bir alternatifi olduğu açıklanmıştı. Ancak bunun 2020 gibi erken bir tarihte kullanılmış olabileceğini gösteren kanıtlar var.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
MuddyC2Go’nun yeteneklerinin tam kapsamı henüz bilinmemekle birlikte, yürütülebilir dosya, Seedworm’un C2 sunucusuna otomatik olarak bağlanan bir PowerShell betiğiyle donatılmış olarak geliyor, böylece saldırganlara kurban sistemine uzaktan erişim sağlıyor ve bir operatörün manuel yürütme ihtiyacını ortadan kaldırıyor.
Kasım 2023’te gerçekleştirilen en son izinsiz girişlerin, özel bir keylogger ve diğer halka açık araçların yanı sıra SimpleHelp ve Venom Proxy’ye de dayandığı ortaya çıktı.
Grup tarafından oluşturulan saldırı zincirleri, ilk erişim için kimlik avı e-postalarını ve yama yapılmamış uygulamalardaki bilinen güvenlik açıklarını silah haline getirme konusunda bir geçmiş performansa sahiptir ve ardından keşif, yanal hareket ve veri toplama gerçekleştirilir.
Symantec tarafından isimsiz bir telekomünikasyon kuruluşunu hedef alan saldırılarda MuddyC2Go başlatıcısı, aktör kontrollü bir sunucuyla bağlantı kurmak için yürütülürken, aynı zamanda AnyDesk ve SimpleHelp gibi yasal uzaktan erişim yazılımlarını da kullanıyordu.
Varlığın daha önce 2023’ün başlarında düşman tarafından ele geçirildiği ve SimpleHelp’in PowerShell’i başlatmak, proxy yazılımı sunmak ve ayrıca JumpCloud uzaktan erişim aracını yüklemek için kullanıldığı söyleniyor.
Symantec, “Saldırganların hedef aldığı başka bir telekomünikasyon ve medya şirketinde, bilinen Seedworm altyapısına bağlanmak için birden fazla SimpleHelp olayı kullanıldı.” dedi. “Özel bir yapı Venom Vekil Bu etkinlikte saldırganların kullandığı yeni özel keylogger’ın yanı sıra hacktool da bu ağda çalıştırıldı.”
Şirket, saldırı zincirlerinde ısmarlama, arazide yaşayan ve kamuya açık araçların bir kombinasyonunu kullanarak, stratejik hedeflerine ulaşmak için hedefin mümkün olduğu kadar uzun süre tespit edilmekten kaçınmak olduğunu söyledi.
Symantec sözlerini şöyle tamamladı: “Grup, faaliyetlerini radar altında tutmak için gerektiğinde araç setini yenilemeye ve geliştirmeye devam ediyor.” “Grup hâlâ PowerShell ve PowerShell ile ilgili araçları ve komut dosyalarını yoğun bir şekilde kullanıyor ve kuruluşların ağlarında PowerShell’in şüpheli kullanımı konusunda dikkatli olmaları gerektiğinin altını çiziyor.”
Gelişme, Gonjeshke Darande (Farsça’da “Yırtıcı Serçe” anlamına geliyor) adlı İsrail bağlantılı bir grup olarak geliyor. talep edildi sorumluluk “İslam Cumhuriyeti ve onun bölgedeki vekillerinin saldırganlığına” yanıt olarak “İran genelindeki gaz pompalarının çoğunu” bozan bir siber saldırı için.
Yaklaşık bir yıl sessiz kaldıktan sonra Ekim 2023’te yeniden ortaya çıkan grubun, bağlantılı İsrail Askeri İstihbarat Müdürlüğü’ne yürütülen yıkıcı saldırılar İran’da olmak üzere çelik tesisleri, Benzin istasyonlarıve ülkedeki demiryolu ağları.
Siber saldırı aynı zamanda İsrail Ulusal Siber Müdürlüğü’nün (INCD) İran’ı ve Hamas yanlısı grubu suçlayan bir tavsiye kararının ardından geldi. Hizbullah Saldırıyı Agrius ve Lübnan Cedar adlı tehdit aktörlerine atfederek Ziv Hastanesi’ni başarısız bir şekilde engellemeye çalıştığı iddia edildi.
INCD, “Saldırı, Hizbullah’ın Muhammed Ali Merhi liderliğindeki ‘Lübnan Sediri’ siber birimlerinin katılımıyla İran İstihbarat Bakanlığı tarafından gerçekleştirildi.” söz konusu.
