Irans staatliche Cyber-Spionageorganisation Muddy Waters.MuddyWater) ist wieder aufgetaucht, und zwar mit einem Programm namens "MuddyC2Go"Ein neuer Befehls- und Kontrollrahmen für den Telekommunikationssektor in Ägypten, Sudan und Tansania.
Das Team von Symantec Threat Hunters nannte das Ereignis "Saatwurm". Die Organisation war zuvor auch im Nahen Osten unter Codenamen wie Boggy Serpens, Cobalt Ulster und Earth Vetala aktiv.
Symantec geht davon aus, dass Muddy Waters seit 2017 aktiv ist und mit dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) in Verbindung steht.
Letzten Monat enthüllte Deep Instinct erstmals, dass Muddy Waters das MuddyC2Go-Framework verwendet, das auf der Sprache Golang basiert und die bisher verwendeten PhonyC2 und MuddyC3 ersetzen soll, aber es gibt Hinweise darauf, dass die praktische Anwendung bereits 2020 beginnen könnte. Es geht los.
Der volle Funktionsumfang von MuddyC2Go ist derzeit nicht bekannt, aber es ist bekannt, dass es einePowerShellEin Skript, das automatisch eine Verbindung zum C2-Server von Seedworm herstellt und Angreifern so Fernzugriff auf das Opfersystem ermöglicht, ohne dass ein manuelles Eingreifen erforderlich ist.
Im November 2023 richtete sich die jüngste Angriffsrunde gegen Telekommunikationsunternehmen in Ägypten, Sudan und Tansania, wobei neben MuddyC2Go auch öffentlich verfügbare Tools wie SimpleHelp und Venom Proxy sowie ein maßgeschneiderter Keylogger eingesetzt wurden.
"Die Muddy Waters-Angriffskette nutzt in der Regel das InternetPhishing-Mailund bekannte Schwachstellen in ungepatchten Anwendungen, um sich einen ersten Zugang zu verschaffen, gefolgt von Erkundung, seitlicher Bewegung und Datensammlung.
Bei einem von Symantec dokumentierten Angriff auf ein Telekommunikationsunternehmen nutzte Muddy Waters den MuddyC2Go-Initiator, um sich mit Servern unter seiner Kontrolle zu verbinden, und setzte legitime Fernzugriffssoftware wie AnyDesk und SimpleHelp ein.
Es ist bekannt, dass dieselbe Organisation bereits im Jahr 2023 kompromittiert wurde, als SimpleHelp zur Ausführung von PowerShell, zur Bereitstellung von Proxy-Software und zur Installation des Fernzugriffstools JumpCloud verwendet wurde.
Im Netzwerk eines anderen angegriffenen Telekommunikations- und Medienunternehmens wurden mehrere Vorfälle festgestellt, bei denen SimpleHelp verwendet wurde, um eine Verbindung zu einer bekannten "Seedworm"-Infrastruktur herzustellen, sowie die Ausführung des angepassten Venom Proxy des Unternehmens.Hacker (Informatik) (Lehnwort)Tools und einen neuen benutzerdefinierten Keylogger.
"Muddy Waters verwendet eine Kombination aus selbst entwickelten, handelsüblichen und öffentlich zugänglichen Werkzeugen, die darauf ausgelegt sind, sich so weit wie möglich der Entdeckung zu entziehen, um seine strategischen Ziele zu erreichen. Die Organisation entwickelt ihr Instrumentarium ständig weiter, um ihre Aktivitäten im Verborgenen zu halten.
Eine andere, mit Israel verbundene Organisation, Gonjeshke Darande, die sich zu ihren Anschlägen auf iranische Tankstellensysteme bekannte, wurde im Oktober 2023 reaktiviert und steht vermutlich mit dem israelischen Militärgeheimdienst in Verbindung, nachdem sie zuvor zerstörerische Anschläge auf iranische Stahlwerke, Tankstellen und das Eisenbahnnetz verübt hatte.
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/iranian-hacking-group-muddywater-targets-middle-eastern-telecom-companies.html
