Търсене
Close this search box.

MuddyWater приемат нов C2 инструмент „DarkBeatC2“ в последната си кампания

Иранският участник в заплахите, известен като MuddyWater, е причислен към нова инфраструктура за командване и контрол (C2), наречена DarkBeatC2, която се превръща в последния подобен инструмент в арсенала му след SimpleHarm, MuddyC3, PhonyC2 и MuddyC2Go.

„Въпреки че от време на време преминава към нов инструмент за отдалечено администриране или променя C2 инфраструктурата си, методите на MuddyWater остават постоянни“, казва Саймън Кенин, изследовател по сигурността от Deep Instinct, в технически доклад, публикуван миналата седмица.

Смята се, че MuddyWater, наричан още Boggy Serpens, Mango Sandstorm и TA450, е свързан с иранското Министерство на разузнаването и сигурността (MOIS). Известно е, че е активен поне от 2017 г., като организира spear-phishing атаки, които водят до внедряване на различни легитимни решения за отдалечено наблюдение и управление (Remote Monitoring and Management – RMM) на компрометирани системи.

Предишни констатации на Microsoft показват, че групата има връзки с друг ирански клъстер за активност в областта на заплахите, проследен като Storm-1084 (известен още като DarkBit), като последният използва достъпа, за да организира разрушителни wiper атаки срещу израелски структури.

Последната кампания за атаки, подробности за която бяха разкрити и от Proofpoint миналия месец, започва със spear-phishing имейли, изпратени от компрометирани акаунти, които съдържат връзки или прикачени файлове, хоствани в услуги като Egnyte, за да доставят софтуера Atera Agent.

 

Един от въпросните URL адреси е „kinneretacil.egnyte[.]com“, където поддомейнът „kinneretacil“ се отнася до „kinneret.ac.il“ – образователна институция в Израел и клиент на Rashim, която на свой ред е била пробита от Lord Nemesis (известен още като Nemesis Kitten или TunnelVision) като част от атака по веригата за доставки, насочена към академичния сектор в страната.

Lord Nemesis е заподозрян, че е „фалшификаторска“ операция, насочена срещу Израел. Заслужава да се отбележи също така, че Nemesis Kitten е частна договорна компания, наречена Najee Technology, подгрупа в рамките на Mint Sandstorm, която е подкрепяна от Ислямската революционна гвардия на Иран (IRGC). Компанията е санкционирана от Министерството на финансите на САЩ през септември 2022 г.

„Това е важно, защото ако Lord Nemesis са успели да пробият имейл системата на „Рашим“, те може да са проникнали в имейл системите на клиентите на „Рашим“, използвайки администраторските акаунти, които сега знаем, че са получили от „Рашим“ – обясни Кенин.

Iranian MuddyWater Hackers

Мрежата от връзки повдигна възможността MuddyWater да са използвали имейл акаунта, свързан с Кинерет, за да разпространяват връзките, като по този начин са създали илюзия за доверие и са подмамили получателите да кликнат върху тях.

„Макар и да не са категорични, времевата рамка и контекстът на събитията показват потенциално предаване или сътрудничество между IRGC и MOIS с цел нанасяне на възможно най-големи вреди на израелски организации и лица“, допълва още Кенин.

Атаките се отличават и с това, че разчитат на набор от домейни и IP адреси, колективно наречени DarkBeatC2, които отговарят за управлението на заразените крайни точки. Това се постига с помощта на PowerShell код, предназначен за установяване на контакт със C2 сървъра след получаване на първоначален достъп по друг начин.

Според независими констатации на Palo Alto Networks Unit 42 е наблюдавано, че  заплахата злоупотребява с функцията AutodialDLL на регистъра на Windows, за да зареди странично злонамерен DLL и в крайна сметка да установи връзки с домейна DarkBeatC2.

Механизмът по-специално включва установяване на устойчивост чрез планирана задача, която изпълнява PowerShell, за да използва ключа AutodialDLL в регистъра и да зареди DLL за C2 рамката. Фирмата за киберсигурност заяви, че техниката е била използвана в кибератака, насочена към неназована цел в Близкия изток.

Другите методи, възприети от MuddyWater за установяване на връзка C2, включват използването на полезен товар на първия етап, доставен чрез електронно писмо за spear-phishing, и използването на странично зареждане на DLL за изпълнение на злонамерена библиотека.

Успешната връзка позволява на заразения хост да получи PowerShell отговори, които от своя страна извличат още два PowerShell скрипта от същия сървър.

Докато единият от скриптовете е предназначен да прочете съдържанието на файл с име „C:\ProgramData\SysInt.log“ и да го предаде на сървъра C2 чрез HTTP POST заявка, вторият скрипт периодично анкетира сървъра, за да получи допълнителни полезни товари, и записва резултатите от изпълнението в „SysInt.log“. Понастоящем не е известно точното естество на полезния товар на следващия етап.

„Тази рамка е подобна на предишните C2 рамки, използвани от MuddyWater“, казва Кенин. „PowerShell остава техният „хляб и масло“.“

Любопитен Serpens се насочва към отбранителния сектор с FalseFont Backdoor

Разкритието идва в момент, когато Unit 42 разопакова вътрешната работа на backdoor, наречен FalseFont, който се използва от ирански участник в заплахи, известен като Peach Sandstorm (известен още като APT33, Curious Serpens, Elfin и Refined Kitten), в атаки, насочени към аерокосмическия и отбранителния сектор.

„Участниците в заплахата имитират легитимен софтуер за човешки ресурси, като използват фалшив процес за набиране на работа, за да подмамят жертвите да инсталират задната врата“, казват изследователите по сигурността Том Факърман, Даниел Франк и Джером Туджаг, като описват FalseFont като „високоцелеви“.

След като бъде инсталиран, той представя интерфейс за вход, представящ се за аерокосмическа компания, и прихваща идентификационните данни, както и историята на образованието и заетостта, въведени от жертвата, към контролиран от заплахата C2 сървър във формат JSON.

Имплантът, освен своя компонент за графичен потребителски интерфейс (GUI) за въвеждане на данни от потребителя, също така скрито активира втори компонент във фонов режим, който установява постоянство в системата, събира системни метаданни и изпълнява команди и процеси, изпратени от C2 сървъра.

Други характеристики на FalseFont включват възможността за изтегляне и качване на файлове, кражба на идентификационни данни, заснемане на екранни снимки, прекратяване на определени процеси, изпълнение на команди PowerShell и самоактуализиране на зловредния софтуер.

Източник: The Hacker News

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
Бъдете социални
Още по темата
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
17/05/2024

Шпионската група "Маската" ...

Група за съвременни постоянни заплахи (APT),...
16/05/2024

Украински и латвийски телев...

Само в Украйна бяха прекъснати поне...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!