Gli attori statali iraniani sono stati osservati mentre utilizzavano un framework di comando e controllo (C2) inedito chiamato MuddyC2Go, come parte di attacchi mirati contro Israele. Secondo quanto riferito da Simon Kenin, ricercatore di sicurezza presso Deep Instinct, il componente web del framework è scritto nel linguaggio di programmazione Go.
MuddyWater e le sue tattiche di attacco
MuddyC2Go è stato attribuito a MuddyWater, un gruppo di hacker sponsorizzato dallo stato iraniano e affiliato al Ministero dell’Intelligenza e della Sicurezza dell’Iran (MOIS). La piattaforma C2 potrebbe essere stata utilizzata dall’attore della minaccia già dall’inizio del 2020, con attacchi recenti che la vedono sostituire PhonyC2, un’altra piattaforma C2 personalizzata di MuddyWater, di cui è stato divulgato il codice sorgente a giugno 2023.
Evoluzione delle tecniche di infiltrazione
Gli attacchi tipici osservati negli anni hanno coinvolto l’invio di email di spear-phishing con archivi contenenti malware o link fasulli che portano al dispiegamento di strumenti legittimi di amministrazione remota. L’installazione del software di amministrazione remota apre la strada alla consegna di ulteriori payload, inclusi PhonyC2.
Il modus operandi di MuddyWater ha subito un restyling, utilizzando archivi protetti da password per eludere le soluzioni di sicurezza email e distribuendo un eseguibile invece di uno strumento di amministrazione remota. “Questo eseguibile contiene uno script PowerShell incorporato che si collega automaticamente al C2 di MuddyWater, eliminando la necessità di esecuzione manuale da parte dell’operatore”, ha spiegato Kenin.
Raccomandazioni di sicurezza
Il server MuddyC2Go, a sua volta, invia uno script PowerShell, che viene eseguito ogni 10 secondi e attende ulteriori comandi dall’operatore. Sebbene l’intera gamma delle funzionalità di MuddyC2Go sia sconosciuta, si sospetta che sia un framework responsabile della generazione di payload PowerShell per condurre attività post-sfruttamento.