Иранският участник в заплахите, известен като MuddyWater, е причислен към нова инфраструктура за командване и контрол (C2), наречена DarkBeatC2, която се превръща в последния подобен инструмент в арсенала му след SimpleHarm, MuddyC3, PhonyC2 и MuddyC2Go.
„Въпреки че от време на време преминава към нов инструмент за отдалечено администриране или променя C2 инфраструктурата си, методите на MuddyWater остават постоянни“, казва Саймън Кенин, изследовател по сигурността от Deep Instinct, в технически доклад, публикуван миналата седмица.
Смята се, че MuddyWater, наричан още Boggy Serpens, Mango Sandstorm и TA450, е свързан с иранското Министерство на разузнаването и сигурността (MOIS). Известно е, че е активен поне от 2017 г., като организира spear-phishing атаки, които водят до внедряване на различни легитимни решения за отдалечено наблюдение и управление (Remote Monitoring and Management – RMM) на компрометирани системи.
Предишни констатации на Microsoft показват, че групата има връзки с друг ирански клъстер за активност в областта на заплахите, проследен като Storm-1084 (известен още като DarkBit), като последният използва достъпа, за да организира разрушителни wiper атаки срещу израелски структури.
Последната кампания за атаки, подробности за която бяха разкрити и от Proofpoint миналия месец, започва със spear-phishing имейли, изпратени от компрометирани акаунти, които съдържат връзки или прикачени файлове, хоствани в услуги като Egnyte, за да доставят софтуера Atera Agent.
Един от въпросните URL адреси е „kinneretacil.egnyte[.]com“, където поддомейнът „kinneretacil“ се отнася до „kinneret.ac.il“ – образователна институция в Израел и клиент на Rashim, която на свой ред е била пробита от Lord Nemesis (известен още като Nemesis Kitten или TunnelVision) като част от атака по веригата за доставки, насочена към академичния сектор в страната.
Lord Nemesis е заподозрян, че е „фалшификаторска“ операция, насочена срещу Израел. Заслужава да се отбележи също така, че Nemesis Kitten е частна договорна компания, наречена Najee Technology, подгрупа в рамките на Mint Sandstorm, която е подкрепяна от Ислямската революционна гвардия на Иран (IRGC). Компанията е санкционирана от Министерството на финансите на САЩ през септември 2022 г.
„Това е важно, защото ако Lord Nemesis са успели да пробият имейл системата на „Рашим“, те може да са проникнали в имейл системите на клиентите на „Рашим“, използвайки администраторските акаунти, които сега знаем, че са получили от „Рашим“ – обясни Кенин.
Мрежата от връзки повдигна възможността MuddyWater да са използвали имейл акаунта, свързан с Кинерет, за да разпространяват връзките, като по този начин са създали илюзия за доверие и са подмамили получателите да кликнат върху тях.
„Макар и да не са категорични, времевата рамка и контекстът на събитията показват потенциално предаване или сътрудничество между IRGC и MOIS с цел нанасяне на възможно най-големи вреди на израелски организации и лица“, допълва още Кенин.
Атаките се отличават и с това, че разчитат на набор от домейни и IP адреси, колективно наречени DarkBeatC2, които отговарят за управлението на заразените крайни точки. Това се постига с помощта на PowerShell код, предназначен за установяване на контакт със C2 сървъра след получаване на първоначален достъп по друг начин.
Според независими констатации на Palo Alto Networks Unit 42 е наблюдавано, че заплахата злоупотребява с функцията AutodialDLL на регистъра на Windows, за да зареди странично злонамерен DLL и в крайна сметка да установи връзки с домейна DarkBeatC2.
Механизмът по-специално включва установяване на устойчивост чрез планирана задача, която изпълнява PowerShell, за да използва ключа AutodialDLL в регистъра и да зареди DLL за C2 рамката. Фирмата за киберсигурност заяви, че техниката е била използвана в кибератака, насочена към неназована цел в Близкия изток.
Другите методи, възприети от MuddyWater за установяване на връзка C2, включват използването на полезен товар на първия етап, доставен чрез електронно писмо за spear-phishing, и използването на странично зареждане на DLL за изпълнение на злонамерена библиотека.
Успешната връзка позволява на заразения хост да получи PowerShell отговори, които от своя страна извличат още два PowerShell скрипта от същия сървър.
Докато единият от скриптовете е предназначен да прочете съдържанието на файл с име „C:\ProgramData\SysInt.log“ и да го предаде на сървъра C2 чрез HTTP POST заявка, вторият скрипт периодично анкетира сървъра, за да получи допълнителни полезни товари, и записва резултатите от изпълнението в „SysInt.log“. Понастоящем не е известно точното естество на полезния товар на следващия етап.
„Тази рамка е подобна на предишните C2 рамки, използвани от MuddyWater“, казва Кенин. „PowerShell остава техният „хляб и масло“.“
Разкритието идва в момент, когато Unit 42 разопакова вътрешната работа на backdoor, наречен FalseFont, който се използва от ирански участник в заплахи, известен като Peach Sandstorm (известен още като APT33, Curious Serpens, Elfin и Refined Kitten), в атаки, насочени към аерокосмическия и отбранителния сектор.
„Участниците в заплахата имитират легитимен софтуер за човешки ресурси, като използват фалшив процес за набиране на работа, за да подмамят жертвите да инсталират задната врата“, казват изследователите по сигурността Том Факърман, Даниел Франк и Джером Туджаг, като описват FalseFont като „високоцелеви“.
След като бъде инсталиран, той представя интерфейс за вход, представящ се за аерокосмическа компания, и прихваща идентификационните данни, както и историята на образованието и заетостта, въведени от жертвата, към контролиран от заплахата C2 сървър във формат JSON.
Имплантът, освен своя компонент за графичен потребителски интерфейс (GUI) за въвеждане на данни от потребителя, също така скрито активира втори компонент във фонов режим, който установява постоянство в системата, събира системни метаданни и изпълнява команди и процеси, изпратени от C2 сървъра.
Други характеристики на FalseFont включват възможността за изтегляне и качване на файлове, кражба на идентификационни данни, заснемане на екранни снимки, прекратяване на определени процеси, изпълнение на команди PowerShell и самоактуализиране на зловредния софтуер.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.