{"id":829995,"date":"2023-06-29T17:29:38","date_gmt":"2023-06-29T17:29:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/de-muddyc3-a-phonyc2-muddywater-de-iran-evoluciona-con-una-nueva-arma-cibernetica\/"},"modified":"2023-06-29T17:29:38","modified_gmt":"2023-06-29T17:29:38","slug":"de-muddyc3-a-phonyc2-muddywater-de-iran-evoluciona-con-una-nueva-arma-cibernetica","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/de-muddyc3-a-phonyc2-muddywater-de-iran-evoluciona-con-una-nueva-arma-cibernetica\/","title":{"rendered":"De MuddyC3 a PhonyC2: MuddyWater de Ir\u00e1n evoluciona con una nueva arma cibern\u00e9tica"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">29 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhc2X63aeosGY6WpwgLIYVTUkPljC_4VHc5pAe1xW2JRGklXYb6nZPO5-TyXqo8iEq2WAMIAE3FA0k7Wo_Kzq07JoyGCJhA9VAWYR_OutwXsPbjun4VN8VafNgHt8s6M5yNPa3xIzoxuRVtEA2WIYP5FwJdPGstsSJH-609BtaL2yLojZ6trEkKldhOd8w\/s728-e365\/cc.jpg\" alt=\"\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\"\/><\/div>\n<p>El grupo patrocinado por el estado iran\u00ed denominado <b>MuddyAgua <\/b>se ha atribuido a un marco de comando y control (C2) nunca antes visto llamado <strong>FalsoC2<\/strong> que ha sido utilizado por el actor desde 2021.<\/p>\n<p>La evidencia muestra que el marco desarrollado activamente y hecho a la medida se aprovech\u00f3 en el ataque de febrero de 2023 contra Technion, un instituto de investigaci\u00f3n israel\u00ed, dijo la firma de seguridad cibern\u00e9tica Deep Instinct en un comunicado. <a rel=\"nofollow noopener\" href=\"https:\/\/www.deepinstinct.com\/blog\/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater\" target=\"_blank\">informe<\/a> compartido con The Hacker News.<\/p>\n<p>Adem\u00e1s, se han descubierto v\u00ednculos adicionales entre el programa basado en Python 3 y otros ataques llevados a cabo por MuddyWater, incluida la explotaci\u00f3n continua de los servidores PaperCut.<\/p>\n<p>&#8220;Es estructural y funcionalmente similar a <a rel=\"nofollow noopener\" href=\"https:\/\/ti.qianxin.com\/blog\/articles\/analysis-of-muddyc3-a-new-weapon-used-by-muddywater\/\" target=\"_blank\">FangosoC3<\/a>un MuddyWater anterior <a rel=\"nofollow noopener\" href=\"https:\/\/shells.systems\/reviving-leaked-muddyc3-used-by-muddywater-apt\/\" target=\"_blank\">marco C2 personalizado<\/a> eso fue escrito en Python 2\u201d, dijo el investigador de seguridad Simon Kenin. \u201cMuddyWater actualiza continuamente el marco PhonyC2 y cambia los TTP para evitar la detecci\u00f3n\u201d.<\/p>\n<p>MuddyWater, tambi\u00e9n conocido como Mango Sandstorm (anteriormente Mercury), es un grupo de ciberespionaje que se sabe que opera en nombre del Ministerio de Inteligencia y Seguridad de Ir\u00e1n (MOIS) desde al menos 2017.<\/p>\n<p>Los hallazgos llegan casi tres meses despu\u00e9s de que Microsoft implicara al actor de amenazas por llevar a cabo ataques destructivos en entornos h\u00edbridos, al tiempo que destacaba su colaboraci\u00f3n con un cl\u00faster relacionado rastreado como Storm-1084 (tambi\u00e9n conocido como DEV-1084 o DarkBit) para reconocimiento, persistencia y movimiento lateral.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgJAjUQq6Q-jnCUYYsXW9S62xJXyCmVlxF__fI5R0hdBdqBD6x-3aAoH7eBcc_FJ1C5b7gUMEbhDvqoDNQli6GCY7zdtiROqBsEwJdQK0GJsddjJY20zaFbXObbbtlW838TLd_DI5fQQ-ug4-jw3mfW8-n6MUytcojduvyOtnjbOxtv7BM36WV4bPSbLQ\/s728-e200\/netspi-728-2.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>\u201cIr\u00e1n realiza operaciones cibern\u00e9ticas con el objetivo de recopilar inteligencia con fines estrat\u00e9gicos, apuntando esencialmente a los estados vecinos, en particular a los rivales geopol\u00edticos de Ir\u00e1n como Israel, Arabia Saudita y los pa\u00edses del Golfo Ar\u00e1bigo, un enfoque continuo observado en todas las operaciones desde 2011\u201d, dijo la empresa francesa de ciberseguridad Sekoia. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/iran-cyber-threat-overview\/\" target=\"_blank\">dicho<\/a> en una descripci\u00f3n general de los ataques cibern\u00e9ticos del gobierno pro iran\u00ed.<\/p>\n<p>Las cadenas de ataque orquestadas por el grupo, al igual que otros conjuntos de intrusi\u00f3n de Ir\u00e1n-nexus, emplean servidores p\u00fablicos vulnerables e ingenier\u00eda social como los principales puntos de acceso iniciales para violar objetivos de inter\u00e9s.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/De-MuddyC3-a-PhonyC2-MuddyWater-de-Iran-evoluciona-con-una.jpg\" alt=\"\" border=\"0\" data-original-height=\"718\" data-original-width=\"728\"\/><\/div>\n<p>&#8220;Estos incluyen el uso de t\u00edteres de calcetines carism\u00e1ticos, el atractivo de posibles oportunidades laborales, solicitudes de periodistas y hacerse pasar por expertos de grupos de expertos que buscan opiniones&#8221;, Recorded Future <a rel=\"nofollow noopener\" href=\"https:\/\/www.recordedfuture.com\/social-engineering-remains-key-tradecraft-for-iranian-apts\" target=\"_blank\">anotado<\/a> el a\u00f1o pasado.  &#8220;El uso de la ingenier\u00eda social es un componente central del comercio APT iran\u00ed cuando se involucra en operaciones de informaci\u00f3n y espionaje cibern\u00e9tico&#8221;.<\/p>\n<p>Deep Instinct dijo que descubri\u00f3 el marco PhonyC2 en abril de 2023 en un servidor que est\u00e1 relacionado con una infraestructura m\u00e1s amplia utilizada por MuddyWater en su ataque dirigido a Technion a principios de este a\u00f1o.  Tambi\u00e9n se descubri\u00f3 que el mismo servidor albergaba Ligolo, una herramienta b\u00e1sica de tunelizaci\u00f3n inversa utilizada por el actor de amenazas.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1688059778_894_De-MuddyC3-a-PhonyC2-MuddyWater-de-Iran-evoluciona-con-una.jpg\" alt=\"\" border=\"0\" data-original-height=\"411\" data-original-width=\"728\"\/><\/div>\n<p>La conexi\u00f3n surge de los nombres de artefactos &#8220;C:\\programdata\\db.sqlite&#8221; y &#8220;C:\\programdata\\db.ps1&#8221;, que Microsoft <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/04\/07\/mercury-and-dev-1084-destructive-attack-on-hybrid-environment\/\" target=\"_blank\">descrito<\/a> como puertas traseras PowerShell personalizadas utilizadas por MuddyWater y que se generan din\u00e1micamente a trav\u00e9s del marco PhonyC2 para su ejecuci\u00f3n en el host infectado.<\/p>\n<p>PhonyC2 es un &#8220;marco posterior a la explotaci\u00f3n que se utiliza para generar varias cargas \u00fatiles que se conectan de nuevo al C2 y esperan las instrucciones del operador para realizar el paso final de la &#8216;cadena de destrucci\u00f3n de intrusos'&#8221;, dijo Kenin, calific\u00e1ndolo como sucesor de MuddyC3 y ESTAD\u00cdSTICAS DE POTENCIA.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/www.memcyco.com\/home\/library\/the-untold-cost-of-brand-impersonation-ebook\/?utm_source=thn&amp;utm_medium=referral&amp;utm_campaign=ebook-campaign\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhwblKFD9gH_0xYFjX3n1Ayx0AbL4WNQeDjdg8YZ-snogoxraAiYkvQxk_gIk3PU2fvA-ZL3V0aneo0_C7kwcUYt4XAm308tsLoDA1aemQVTkTHegfgWT-5eHD819wE7061F3w9-W3zB9Wz8R-Vds_Dbt1WkZLb98Qsdzi5xfkbsr_zqVSfnuGQOLvTmArw\/s728-e3650\/v2_d.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Algunos de los comandos notables admitidos por el marco son los siguientes:<\/p>\n<ul>\n<li><strong>carga \u00fatil<\/strong>: genere las cargas \u00fatiles &#8220;C:\\programdata\\db.sqlite&#8221; y &#8220;C:\\programdata\\db.ps1&#8221;, as\u00ed como un comando de PowerShell para ejecutar db.ps1, que, a su vez, ejecuta db.sqlite<\/li>\n<li><strong>cuentagotas<\/strong>: Cree diferentes variantes de los comandos de PowerShell para generar &#8220;C:\\programdata\\db.sqlite&#8221; accediendo al servidor C2 y escribiendo el contenido codificado enviado por el servidor al archivo <\/li>\n<li><strong>ex3cut3<\/strong>: cree diferentes variantes de los comandos de PowerShell para generar &#8220;C:\\programdata\\db.ps1&#8221;, un script que contiene la l\u00f3gica para decodificar db.sqlite, y la etapa final<\/li>\n<li><strong>lista<\/strong>: enumerar todas las m\u00e1quinas conectadas al servidor C2<\/li>\n<li><strong>establecercomandoparatodos<\/strong>: Ejecute el mismo comando en todos los hosts conectados simult\u00e1neamente<\/li>\n<li><strong>usar<\/strong>: Obtenga un shell de PowerShell en una computadora remota<\/li>\n<li><strong>persistir<\/strong>: genere un c\u00f3digo de PowerShell para permitir que el operador obtenga persistencia en el host infectado para que se vuelva a conectar al servidor al reiniciar<\/li>\n<\/ul>\n<p>Muddywater est\u00e1 lejos de ser el \u00fanico grupo de estado-naci\u00f3n iran\u00ed que entrena sus ojos en Israel.  En los \u00faltimos meses, varias entidades del pa\u00eds han sido atacadas por al menos tres actores diferentes, como Charming Kitten (tambi\u00e9n conocido como APT35), Imperial Kitten (tambi\u00e9n conocido como Tortoiseshell) y Agrius (tambi\u00e9n conocido como Pink Sandstorm).<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/from-muddyc3-to-phonyc2-irans.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80229 de junio de 2023\ue804Ravie Lakshman\u00e1n El grupo patrocinado por el estado iran\u00ed denominado MuddyAgua se ha atribuido<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2122,4661,16259,4664,99,48389,4662,6983,4668,4667,171623,6982,4654,4658,4659,4653,4655,212,171624,4663,4666,4665,158,4660],"class_list":["post-829995","post","type-post","status-publish","format-standard","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-arma","tag-ataques-ciberneticos","tag-cibernetica","tag-como-hackear","tag-con","tag-evoluciona","tag-filtracion-de-datos","tag-iran","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-muddyc3","tag-muddywater","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-phonyc2","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/829995","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=829995"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/829995\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=829995"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=829995"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=829995"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}