El actor-estado-nación iraní conocido como FangosoAgua ha aprovechado un marco de comando y control (C2) recientemente descubierto llamado MuddyC2Go en sus ataques al sector de las telecomunicaciones en Egipto, Sudán y Tanzania.
El equipo Symantec Threat Hunter, parte de Broadcom, es seguimiento la actividad bajo el nombre Seedworm, que también se rastrea bajo los apodos Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anteriormente Mercury), Static Kitten, TEMP.Zagros y Yellow Nix.
Activo desde al menos 2017, se considera que MuddyWater está afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS), destacando principalmente entidades en el Medio Oriente.
El uso de MuddyC2Go por parte del grupo de ciberespionaje fue destacado por primera vez por Deep Instinct el mes pasado, describiéndolo como un reemplazo basado en Golang para PhonyC2, en sí mismo un sucesor de MuddyC3. Sin embargo, hay pruebas que sugieren que es posible que se haya empleado ya en 2020.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Si bien aún no se conoce el alcance total de las capacidades de MuddyC2Go, el ejecutable viene equipado con un script PowerShell que se conecta automáticamente al servidor C2 de Seedworm, brindando así a los atacantes acceso remoto a un sistema víctima y obviando la necesidad de ejecución manual por parte de un operador.
También se descubrió que el último conjunto de intrusiones, que tuvo lugar en noviembre de 2023, dependía de SimpleHelp y Venom Proxy, junto con un registrador de teclas personalizado y otras herramientas disponibles públicamente.
Las cadenas de ataques montadas por el grupo tienen un historial de convertir en armas correos electrónicos de phishing y vulnerabilidades conocidas en aplicaciones sin parches para el acceso inicial, seguido de la realización de reconocimiento, movimiento lateral y recopilación de datos.
En los ataques documentados por Symantec dirigidos a una organización de telecomunicaciones anónima, se ejecutó el iniciador MuddyC2Go para establecer contacto con un servidor controlado por un actor, al mismo tiempo que se implementaba software legítimo de acceso remoto como AnyDesk y SimpleHelp.
Se dice que la entidad fue comprometida previamente por el adversario a principios de 2023, en el que se utilizó SimpleHelp para iniciar PowerShell, entregar software proxy y también instalar la herramienta de acceso remoto JumpCloud.
“En otra empresa de medios y telecomunicaciones objetivo de los atacantes, se utilizaron múltiples incidentes de SimpleHelp para conectarse a la infraestructura conocida de Seedworm”, señaló Symantec. “Una construcción personalizada del Proxy de veneno La herramienta hacktool también se ejecutó en esta red, así como el nuevo keylogger personalizado utilizado por los atacantes en esta actividad”.
Al utilizar una combinación de herramientas personalizadas, que viven de la tierra y disponibles públicamente en sus cadenas de ataque, el objetivo es evadir la detección durante el mayor tiempo posible para cumplir con sus objetivos estratégicos, dijo la compañía.
“El grupo continúa innovando y desarrollando su conjunto de herramientas cuando es necesario para mantener su actividad fuera del radar”, concluyó Symantec. “El grupo todavía hace un uso intensivo de PowerShell y herramientas y scripts relacionados con PowerShell, lo que subraya la necesidad de que las organizaciones sean conscientes del uso sospechoso de PowerShell en sus redes”.
El desarrollo se produce cuando un grupo vinculado a Israel llamado Gonjeshke Darande (que significa “gorrión depredador” en persa) reclamado responsabilidad por un ciberataque que interrumpió “la mayoría de los surtidores de gas en todo Irán” en respuesta a la “agresión de la República Islámica y sus representantes en la región”.
Se cree que el grupo, que resurgió en octubre de 2023 después de permanecer en silencio durante casi un año, está vinculado a la Dirección de Inteligencia Militar de Israel, habiendo llevado a cabo ataques destructivos en Irán, incluyendo instalaciones de acero, estaciones petrolíferasy redes ferroviarias del país.