Le groupe parrainé par l’État iranien surnommé Eau boueuse a été attribué à un cadre de commande et de contrôle (C2) inédit appelé PhonyC2 qui a été mis à profit par l’acteur depuis 2021.
Les preuves montrent que le cadre sur mesure et activement développé a été mis à profit lors de l’attaque de février 2023 contre le Technion, un institut de recherche israélien, a déclaré la société de cybersécurité Deep Instinct dans un communiqué. rapport partagé avec The Hacker News.
De plus, des liens supplémentaires ont été découverts entre le programme basé sur Python 3 et d’autres attaques menées par MuddyWater, y compris l’exploitation en cours des serveurs PaperCut.
« Il est structurellement et fonctionnellement similaire à BoueuxC3un ancien MuddyWater cadre C2 personnalisé qui a été écrit en Python 2 », a déclaré le chercheur en sécurité Simon Kenin. « MuddyWater met continuellement à jour le cadre PhonyC2 et modifie les TTP pour éviter la détection.
MuddyWater, également connu sous le nom de Mango Sandstorm (anciennement Mercury), est un groupe de cyberespionnage connu pour opérer au nom du ministère iranien du renseignement et de la sécurité (MOIS) depuis au moins 2017.
Les résultats arrivent près de trois mois après que Microsoft a impliqué l’acteur de la menace pour avoir mené des attaques destructrices sur des environnements hybrides, tout en appelant également sa collaboration avec un cluster connexe suivi sous le nom de Storm-1084 (alias DEV-1084 ou DarkBit) pour la reconnaissance, la persistance et mouvement latéral.
« L’Iran mène des cyberopérations visant à la collecte de renseignements à des fins stratégiques, ciblant essentiellement les États voisins, en particulier les rivaux géopolitiques de l’Iran tels qu’Israël, l’Arabie saoudite et les pays du Golfe arabe, une concentration continue observée dans toutes les opérations depuis 2011 », a déclaré la société française de cybersécurité Sekoia. a dit dans un aperçu des cyberattaques du gouvernement pro-iranien.
Les chaînes d’attaque orchestrées par le groupe, comme d’autres ensembles d’intrusions iraniennes, utilisent des serveurs publics vulnérables et l’ingénierie sociale comme principaux points d’accès initiaux pour violer les cibles d’intérêt.
« Il s’agit notamment de l’utilisation de marionnettes à chaussettes charismatiques, de l’attrait d’opportunités d’emploi potentielles, de la sollicitation par des journalistes et du fait de se faire passer pour des experts de groupes de réflexion à la recherche d’opinions », a déclaré Recorded Future. indiqué l’année dernière. « L’utilisation de l’ingénierie sociale est un élément central de l’artisanat iranien APT lors de l’engagement dans des opérations de cyberespionnage et d’information. »
Deep Instinct a déclaré avoir découvert le framework PhonyC2 en avril 2023 sur un serveur lié à une infrastructure plus large utilisée par MuddyWater dans son attaque ciblant Technion plus tôt cette année. Le même serveur s’est également avéré héberger Ligolo, un outil de tunnellisation inverse de base utilisé par l’acteur de la menace.
La connexion provient des noms d’artefact « C:programdatadb.sqlite » et « C:programdatadb.ps1 », que Microsoft décrit en tant que portes dérobées PowerShell personnalisées utilisées par MuddyWater et qui sont générées dynamiquement via le framework PhonyC2 pour être exécutées sur l’hôte infecté.
PhonyC2 est un « framework de post-exploitation utilisé pour générer diverses charges utiles qui se connectent au C2 et attendent les instructions de l’opérateur pour effectuer la dernière étape de la » chaîne de destruction d’intrusion « », a déclaré Kenin, le qualifiant de successeur de MuddyC3 et POWERSTATS.
Certaines des commandes notables prises en charge par le framework sont les suivantes –
- charge utile: Générez les payloads « C:programdatadb.sqlite » et « C:programdatadb.ps1 » ainsi qu’une commande PowerShell pour exécuter db.ps1, qui, à son tour, exécute db.sqlite
- compte-gouttes: Créez différentes variantes de commandes PowerShell pour générer « C:programdatadb.sqlite » en contactant le serveur C2 et en écrivant le contenu encodé envoyé par le serveur dans le fichier
- Ex3cut3: Créez différentes variantes de commandes PowerShell pour générer « C:programdatadb.ps1 » — un script qui contient la logique pour décoder db.sqlite — et l’étape finale
- liste: Enumérer toutes les machines connectées au serveur C2
- setcommandforall: Exécutez la même commande sur tous les hôtes connectés simultanément
- utiliser: Obtenir un shell PowerShell sur un ordinateur distant
- persister: Générez un code PowerShell pour permettre à l’opérateur de gagner en persistance sur l’hôte infecté afin qu’il se reconnecte au serveur lors d’un redémarrage
Muddywater est loin d’être le seul groupe d’États-nations iraniens à avoir les yeux rivés sur Israël. Ces derniers mois, diverses entités du pays ont été ciblées par au moins trois acteurs différents tels que Charming Kitten (alias APT35), Imperial Kitten (alias Tortoiseshell) et Agrius (alias Pink Sandstorm).