{"id":1099382,"date":"2023-12-19T22:43:32","date_gmt":"2023-12-19T22:43:32","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-iranies-utilizan-muddyc2go-en-ataques-de-espionaje-de-telecomunicaciones-en-toda-africa\/"},"modified":"2023-12-19T22:43:36","modified_gmt":"2023-12-19T22:43:36","slug":"hackers-iranies-utilizan-muddyc2go-en-ataques-de-espionaje-de-telecomunicaciones-en-toda-africa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-iranies-utilizan-muddyc2go-en-ataques-de-espionaje-de-telecomunicaciones-en-toda-africa\/","title":{"rendered":"Hackers iran\u00edes utilizan MuddyC2Go en ataques de espionaje de telecomunicaciones en toda \u00c1frica"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 de diciembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Ciberespionaje \/ Ciberataque<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Hackers-iranies-utilizan-MuddyC2Go-en-ataques-de-espionaje-de-telecomunicaciones.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El actor-estado-naci\u00f3n iran\u00ed conocido como <strong>FangosoAgua<\/strong> ha aprovechado un marco de comando y control (C2) recientemente descubierto llamado MuddyC2Go en sus ataques al sector de las telecomunicaciones en Egipto, Sud\u00e1n y Tanzania.<\/p>\n<p>El equipo Symantec Threat Hunter, parte de Broadcom, es <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/iran-apt-seedworm-africa-telecoms\" target=\"_blank\">seguimiento<\/a> la actividad bajo el nombre Seedworm, que tambi\u00e9n se rastrea bajo los apodos Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anteriormente Mercury), Static Kitten, TEMP.Zagros y Yellow Nix.<\/p>\n<p>Activo desde al menos 2017, se considera que MuddyWater est\u00e1 afiliado al Ministerio de Inteligencia y Seguridad de Ir\u00e1n (MOIS), destacando principalmente entidades en el Medio Oriente.<\/p>\n<p>El uso de MuddyC2Go por parte del grupo de ciberespionaje fue destacado por primera vez por Deep Instinct el mes pasado, describi\u00e9ndolo como un reemplazo basado en Golang para PhonyC2, en s\u00ed mismo un sucesor de MuddyC3.  Sin embargo, hay pruebas que sugieren que es posible que se haya empleado ya en 2020.<\/p>\n<section class=\"check_two_webinar clear babsi\"> <span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/zero-trust-attack-surface?source=inside\" target=\"_blank\" class=\"wn-head\"> <\/p>\n<p>Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad<\/p>\n<p> <\/a> <\/p>\n<p class=\"wn-description\">Las medidas de seguridad tradicionales no son suficientes en el mundo actual.  Es hora de adoptar la seguridad Zero Trust.  Proteja sus datos como nunca antes. <\/p>\n<p> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/zero-trust-attack-surface?source=inside\" target=\"_blank\" class=\"wn-button\">\u00danete ahora<\/a> <\/section>\n<p>Si bien a\u00fan no se conoce el alcance total de las capacidades de MuddyC2Go, el ejecutable viene equipado con un script PowerShell que se conecta autom\u00e1ticamente al servidor C2 de Seedworm, brindando as\u00ed a los atacantes acceso remoto a un sistema v\u00edctima y obviando la necesidad de ejecuci\u00f3n manual por parte de un operador.<\/p>\n<p>Tambi\u00e9n se descubri\u00f3 que el \u00faltimo conjunto de intrusiones, que tuvo lugar en noviembre de 2023, depend\u00eda de SimpleHelp y Venom Proxy, junto con un registrador de teclas personalizado y otras herramientas disponibles p\u00fablicamente.<\/p>\n<p>Las cadenas de ataques montadas por el grupo tienen un historial de convertir en armas correos electr\u00f3nicos de phishing y vulnerabilidades conocidas en aplicaciones sin parches para el acceso inicial, seguido de la realizaci\u00f3n de reconocimiento, movimiento lateral y recopilaci\u00f3n de datos.<\/p>\n<p>En los ataques documentados por Symantec dirigidos a una organizaci\u00f3n de telecomunicaciones an\u00f3nima, se ejecut\u00f3 el iniciador MuddyC2Go para establecer contacto con un servidor controlado por un actor, al mismo tiempo que se implementaba software leg\u00edtimo de acceso remoto como AnyDesk y SimpleHelp.<\/p>\n<p>Se dice que la entidad fue comprometida previamente por el adversario a principios de 2023, en el que se utiliz\u00f3 SimpleHelp para iniciar PowerShell, entregar software proxy y tambi\u00e9n instalar la herramienta de acceso remoto JumpCloud.<\/p>\n<p>&#8220;En otra empresa de medios y telecomunicaciones objetivo de los atacantes, se utilizaron m\u00faltiples incidentes de SimpleHelp para conectarse a la infraestructura conocida de Seedworm&#8221;, se\u00f1al\u00f3 Symantec.  &#8220;Una construcci\u00f3n personalizada del <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/github.com\/Dliv3\/Venom\" target=\"_blank\">Proxy de veneno<\/a> La herramienta hacktool tambi\u00e9n se ejecut\u00f3 en esta red, as\u00ed como el nuevo keylogger personalizado utilizado por los atacantes en esta actividad&#8221;.<\/p>\n<p>Al utilizar una combinaci\u00f3n de herramientas personalizadas, que viven de la tierra y disponibles p\u00fablicamente en sus cadenas de ataque, el objetivo es evadir la detecci\u00f3n durante el mayor tiempo posible para cumplir con sus objetivos estrat\u00e9gicos, dijo la compa\u00f1\u00eda.<\/p>\n<p>&#8220;El grupo contin\u00faa innovando y desarrollando su conjunto de herramientas cuando es necesario para mantener su actividad fuera del radar&#8221;, concluy\u00f3 Symantec.  &#8220;El grupo todav\u00eda hace un uso intensivo de PowerShell y herramientas y scripts relacionados con PowerShell, lo que subraya la necesidad de que las organizaciones sean conscientes del uso sospechoso de PowerShell en sus redes&#8221;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El desarrollo se produce cuando un grupo vinculado a Israel llamado Gonjeshke Darande (que significa &#8220;gorri\u00f3n depredador&#8221; en persa) <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/twitter.com\/darandegonjeshk\/status\/1736648198570025414\" target=\"_blank\">reclamado<\/a> <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/t.me\/s\/GonjeshkeDarandeOfficial\" target=\"_blank\">responsabilidad<\/a> por un ciberataque que interrumpi\u00f3 &#8220;la mayor\u00eda de los surtidores de gas en todo Ir\u00e1n&#8221; en respuesta a la &#8220;agresi\u00f3n de la Rep\u00fablica Isl\u00e1mica y sus representantes en la regi\u00f3n&#8221;.<\/p>\n<p>Se cree que el grupo, que resurgi\u00f3 en octubre de 2023 despu\u00e9s de permanecer en silencio durante casi un a\u00f1o, est\u00e1 <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.timesofisrael.com\/israel-linked-group-claims-cyberattack-that-shuts-down-70-of-irans-gas-stations\/\" target=\"_blank\">vinculado<\/a> a la Direcci\u00f3n de Inteligencia Militar de Israel, habiendo <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.nytimes.com\/2021\/11\/27\/world\/middleeast\/iran-israel-cyber-hack.html\" target=\"_blank\">llevado a cabo<\/a> <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/research.checkpoint.com\/2022\/evilplayout-attack-against-irans-state-broadcaster\/\" target=\"_blank\">ataques destructivos<\/a> en Ir\u00e1n, incluyendo <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.timesofisrael.com\/gantz-orders-probe-after-tv-reports-hint-idf-behind-iran-steel-plant-cyberattack\/\" target=\"_blank\">instalaciones de acero<\/a>, <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.bbc.com\/news\/world-middle-east-59062907\" target=\"_blank\">estaciones petrol\u00edferas<\/a>y redes ferroviarias del pa\u00eds.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/12\/iranian-hackers-using-muddyc2go-in-new.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 de diciembre de 2023\ue804Sala de redacci\u00f3nCiberespionaje \/ Ciberataque El actor-estado-naci\u00f3n iran\u00ed conocido como FangosoAgua ha aprovechado un<\/p>\n","protected":false},"author":1,"featured_media":1099383,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,26503,2346,4661,4664,10315,4662,6369,10364,4668,201033,214856,4654,201031,4659,4653,4655,4666,4665,201032,34366,530,10365,4660],"class_list":["post-1099382","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-africa","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-espionaje","tag-filtracion-de-datos","tag-hackers","tag-iranies","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-muddyc2go","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-telecomunicaciones","tag-toda","tag-utilizan","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1099382","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1099382"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1099382\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1099383"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1099382"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1099382"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1099382"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}