حملات جاسوسی مخابراتی هکرهای ایرانی با استفاده از MuddyC2Go
اخبار داغ فناوری اطلاعات و امنیت شبکه
عامل سایبری ملی-دولتی ایرانی معروف به MuddyWater در حملات خود به بخش مخابرات در مصر، سودان و تانزانیا از فریمورک command-and-control (C2) تازه کشف شده به نام MuddyC2Go استفاده کرده است.
تیم Symantec Threat Hunter، بخشی از Broadcom، این فعالیتها را با نام Seedworm ردیابی میکند که همچنین با نامهای Boggy Serpens، Cobalt Ulster، Earth Vetala، ITG17، Mango Sandstorm (سابق Mercury)، Static Kitten، TEMP.Zagros و Yellow Nix شناسایی میشود.
گروه MuddyWater که حداقل از سال ٢٠١٧ فعال است، بنابر ادعاهای این گزارش به وزارت اطلاعات و امنیت ایران (MOIS) وابسته است و در درجه اول نهادهایی را در خاورمیانه هدف قرار میدهد.
استفاده گروه جاسوسی سایبری از MuddyC2Go اولینبار در ماه گذشته توسط Deep Instinct شناسایی شد و آن را بهعنوان جایگزینی مبتنی بر Golang برای PhonyC2 توصیف کرد که خود جانشین MuddyC3 است. بااینحال، شواهدی وجود دارد که نشان میدهد ممکن است در اوایل سال ٢٠٢٠ این ابزار را بهکار گرفته شده باشد.
درحالیکه گستره کامل قابلیتهای MuddyC2Go هنوز مشخص نیست، این فایل اجرایی به یک اسکریپت PowerShell مجهز میشود که به طور خودکار به سرور C2 Seedworm متصل شده و در نتیجه به مهاجمان امکان دسترسی از راه دور به سیستم قربانی را میدهد و نیاز به اجرای دستی توسط اپراتور را از بین میبرد.
جدیدترین مجموعه نفوذها که در نوامبر ٢٠٢٣ انجام شد، همچنین به SimpleHelp و Venom Proxy، در کنار یک keylogger سفارشی و سایر ابزارهای در دسترس عموم متکی بودهاند.
زنجیرههای حمله اجرا شده توسط این گروه دارای سابقه استفاده در ایمیلهای فیشینگ و آسیبپذیریهای شناختهشده در برنامههای اصلاحنشده جهت دسترسی اولیه، و بهدنبال آن انجام شناسایی، حرکت جانبی و جمعآوری دادهها هستند.
در حملات مستند شده توسط سیمانتک که گفته شده در طی آن یک سازمان مخابراتی ناشناس هدف قرارگرفته است، لانچر MuddyC2Go برای برقراری ارتباط با یک سرور تحت کنترل مهاجم اجرا شد و درعینحال نرمافزارهای دسترسی از راه دور قانونی مانند AnyDesk و SimpleHelp را نیز مستقر کرد.
گفته میشود که این دسترسی، قبلا در سال ٢٠٢٣ توسط مهاجمین در معرض خطر قرارگرفته بود که در آن از SimpleHelp برای راهاندازی PowerShell، ارائه نرمافزار پراکسی و همچنین نصب ابزار دسترسی از راه دور JumpCloud استفاده شده بود.
سیمانتک در ادمه ادعاهای خود، خاطرنشان کرد: "در یکی دیگر از شرکتهای مخابراتی و رسانهای که توسط مهاجمان هدف قرارگرفته است، از چندین رویداد SimpleHelp برای اتصال به زیرساختهای شناختهشده Seedworm استفاده شد. همچنین یک ابزار سفارشی هک ونوم پروکسی و همچنین کیلاگر سفارشی جدید که توسط مهاجمان در این فعالیت استفاده میشود، در این شبکه اجرا شد".
به گفته این شرکت، با استفاده از ترکیبی از ابزارهای سفارشی، living-off-the-land و در دسترس عموم قرار گرفتن زنجیرههای حمله، هدف نهایی این است که تا حداکثر زمانی ممکن در راستای رسیدن به اهداف استراتژیک خود، امکان شناسایی خود را به حداقل برساند.
سیمانتک در پایان میگوید: "این گروه به نوآوری و توسعه ابزارهای خود در صورت لزوم ادامه میدهد تا فعالیتهای خود را از شناسایی محفوظ نگاه دارد. این گروه همچنان از ابزارها و اسکریپتهای مرتبط با PowerShell و خود PowerShell استفاده زیادی میکند و که متعاقبا لزوم آگاهی سازمانها از استفاده مشکوک از PowerShell در شبکههای خود را تبدیل به امری ضروری مینماید".
این توسعه در حالی صورت میگیرد که یک گروه مرتبط با اسرائیل به نام گنجشک درنده (یا Predatory Sparrow) مسئولیت یک حمله سایبری را بر عهده گرفت که به ادعای آنها در پاسخ به «اقدامات جمهوری اسلامی و گروههای نیابتی جمهوری اسلامی در منطقه» انجام گرفت که باعث اختلال در «اکثریت پمپهای گاز بنزین در سراسر ایران» شد.
این گروه که در اکتبر ٢٠٢٣ پس از نزدیک به یک سال سکوت دوباره ظهور کرد، گمان میرود که با اداره اطلاعات نظامی اسرائیل مرتبط است و حملات مخربی را در ایران انجام داده است؛ ازجمله حمله به تاسیسات تولید فولاد کشور، پمپبنزینها و شبکههای ریلی راهآهن در ایران.
برچسب ها: Predatory Sparrow, ونوم پروکسی, Venom Proxy, MuddyC2Go, JumpCloud, MuddyC3, PhonyC2, Mango Sandstorm, SimpleHelp, Yellow Nix, Boggy Serpens, Cobalt Ulster, Proxy, MOIS, TEMP.Zagros, Earth Vetala, گنجشک درنده, Cyber Warfare, ITG17, MERCURY, Seedworm, Golang, Iran, AnyDesk, command and control, پراکسی, ایران, Cyber Security, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news