MuddyWater, un gruppo di hacker sponsorizzato dallo stato iraniano, è noto per le sue attività di cyber spionaggio. Recentemente, è stato rivelato che il gruppo ha sviluppato un nuovo framework di comando e controllo (C2) chiamato PhonyC2. Questo framework è stato utilizzato dal gruppo dal 2021 e mostra somiglianze con un precedente framework chiamato MuddyC3.
PhonyC2: un framework personalizzato
Secondo un rapporto di Deep Instinct, PhonyC2 è un framework personalizzato che è stato utilizzato in un attacco a Technion, un istituto di ricerca israeliano, nel febbraio 2023. Il framework è scritto in Python 3 ed è simile strutturalmente e funzionalmente a MuddyC3, che era scritto in Python 2. “MuddyWater sta continuamente aggiornando il framework PhonyC2 e cambiando TTP (Tactics, Techniques, and Procedures) per evitare il rilevamento”, ha affermato il ricercatore di sicurezza Simon Kenin.
Caratteristiche di PhonyC2
PhonyC2 è un framework di post-sfruttamento utilizzato per generare vari payload che si connettono al server C2 e attendono istruzioni dall’operatore per condurre l’ultima fase della “catena di uccisione dell’intrusione”. Alcuni dei comandi notevoli supportati dal framework includono:
payload: Genera i payload “C:\programdata\db.sqlite” e “C:\programdata\db.ps1” insieme a un comando PowerShell per eseguire db.ps1, che a sua volta esegue db.sqlite.droper: Crea diverse varianti di comandi PowerShell per generare “C:\programdata\db.sqlite” contattando il server C2 e scrivendo i contenuti codificati inviati dal server nel file.Ex3cut3: Crea diverse varianti di comandi PowerShell per generare “C:\programdata\db.ps1”, uno script che contiene la logica per decodificare db.sqlite e la fase finale.list: Elenca tutte le macchine connesse al server C2.setcommandforall: Esegui lo stesso comando su tutti gli host connessi simultaneamente.use: Ottieni una shell PowerShell su un computer remoto.persist: Genera un codice PowerShell per consentire all’operatore di mantenere la persistenza sull’host infetto in modo che si riconnetta al server dopo un riavvio.
Attività di MuddyWater
MuddyWater, noto anche come Mango Sandstorm, è un gruppo di cyber spionaggio che opera per conto del Ministero dell’Intelligence e della Sicurezza dell’Iran (MOIS) dal 2017.Il gruppo è noto per utilizzare tecniche di ingegneria sociale per compromettere le sue vittime, tra cui l’uso di finti profili attraenti, la promessa di opportunità lavorative, la sollecitazione da parte di giornalisti e la contraffazione di esperti di think tank che cercano opinioni. “L’uso dell’ingegneria sociale è una componente centrale del tradecraft APT iraniano quando si tratta di cyber spionaggio e operazioni di informazione”, ha osservato Recorded Future.
Implicazioni e obiettivi
MuddyWater non è l’unico gruppo di stato iraniano che ha preso di mira Israele. Negli ultimi mesi, varie entità in Israele sono state prese di mira da almeno tre diversi attori come Charming Kitten (alias APT35), Imperial Kitten (alias Tortoiseshell) e Agrius (alias Pink Sandstorm).
“Iran conduce operazioni cyber mirate alla raccolta di informazioni per scopi strategici, mirando essenzialmente agli stati vicini, in particolare ai rivali geopolitici dell’Iran come Israele, Arabia Saudita e paesi del Golfo Arabico, un focus continuo osservato in tutte le operazioni dal 2011”, ha affermato la società di cybersecurity francese Sekoia in una panoramica degli attacchi cyber del governo pro-iraniano.