Un gruppo di hacker iraniani noto come MuddyWater sta utilizzando un nuovo framework di comando e controllo (C2) chiamato MuddyC2Go per attaccare il settore delle telecomunicazioni in Egitto, Sudan e Tanzania. Questa attività è monitorata dal Symantec Threat Hunter Team, parte di Broadcom, sotto il nome di Seedworm.
Affiliazione e Attività di MuddyWater
MuddyWater, attivo dal 2017, è valutato come affiliato al Ministero dell’Intelligence e della Sicurezza dell’Iran (MOIS) e si concentra principalmente su entità nel Medio Oriente. Il gruppo è noto anche con diversi altri nomi, tra cui Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (precedentemente Mercury), Static Kitten, TEMP.Zagros e Yellow Nix.
Uso di MuddyC2Go e Altri Strumenti
MuddyC2Go, basato su Golang, è stato identificato da Symantec come sostituto di PhonyC2, a sua volta successore di MuddyC3. Questo strumento fornisce agli attaccanti accesso remoto a un sistema vittima e semplifica l’esecuzione di comandi senza intervento manuale. Oltre a MuddyC2Go, gli attacchi hanno utilizzato SimpleHelp, Venom Proxy, un keylogger personalizzato e altri strumenti pubblicamente disponibili.
Metodologie di Attacco
I metodi di attacco del gruppo includono l’uso di email di phishing e vulnerabilità note in applicazioni non aggiornate per ottenere l’accesso iniziale, seguiti da attività di ricognizione, movimento laterale e raccolta dati. In un caso specifico, il launcher MuddyC2Go è stato eseguito per stabilire il contatto con un server controllato dagli attaccanti, utilizzando anche software legittimi di accesso remoto come AnyDesk e SimpleHelp.
Obiettivi e Innovazioni del Gruppo
L’obiettivo di MuddyWater è evitare il rilevamento il più a lungo possibile per raggiungere i suoi obiettivi strategici. Il gruppo continua a innovare e sviluppare il proprio arsenale di strumenti per mantenere le sue attività nascoste. L’uso intensivo di PowerShell e strumenti correlati sottolinea la necessità per le organizzazioni di essere consapevoli dell’uso sospetto di PowerShell nelle loro reti.
Questo sviluppo segue gli attacchi cibernetici attribuiti a un gruppo legato a Israele, Gonjeshke Darande (Predatory Sparrow in persiano), che ha rivendicato la responsabilità di un attacco che ha interrotto la maggior parte delle pompe di benzina in Iran.