Търсене
Close this search box.

Иранският участник в заплахите, известен като MuddyWater, е причислен към нова инфраструктура за командване и контрол (C2), наречена DarkBeatC2, която се превръща в последния подобен инструмент в арсенала му след SimpleHarm, MuddyC3, PhonyC2 и MuddyC2Go.

„Въпреки че от време на време преминава към нов инструмент за отдалечено администриране или променя C2 инфраструктурата си, методите на MuddyWater остават постоянни“, казва Саймън Кенин, изследовател по сигурността от Deep Instinct, в технически доклад, публикуван миналата седмица.

Смята се, че MuddyWater, наричан още Boggy Serpens, Mango Sandstorm и TA450, е свързан с иранското Министерство на разузнаването и сигурността (MOIS). Известно е, че е активен поне от 2017 г., като организира spear-phishing атаки, които водят до внедряване на различни легитимни решения за отдалечено наблюдение и управление (Remote Monitoring and Management – RMM) на компрометирани системи.

Предишни констатации на Microsoft показват, че групата има връзки с друг ирански клъстер за активност в областта на заплахите, проследен като Storm-1084 (известен още като DarkBit), като последният използва достъпа, за да организира разрушителни wiper атаки срещу израелски структури.

Последната кампания за атаки, подробности за която бяха разкрити и от Proofpoint миналия месец, започва със spear-phishing имейли, изпратени от компрометирани акаунти, които съдържат връзки или прикачени файлове, хоствани в услуги като Egnyte, за да доставят софтуера Atera Agent.

 

Един от въпросните URL адреси е „kinneretacil.egnyte[.]com“, където поддомейнът „kinneretacil“ се отнася до „kinneret.ac.il“ – образователна институция в Израел и клиент на Rashim, която на свой ред е била пробита от Lord Nemesis (известен още като Nemesis Kitten или TunnelVision) като част от атака по веригата за доставки, насочена към академичния сектор в страната.

Lord Nemesis е заподозрян, че е „фалшификаторска“ операция, насочена срещу Израел. Заслужава да се отбележи също така, че Nemesis Kitten е частна договорна компания, наречена Najee Technology, подгрупа в рамките на Mint Sandstorm, която е подкрепяна от Ислямската революционна гвардия на Иран (IRGC). Компанията е санкционирана от Министерството на финансите на САЩ през септември 2022 г.

„Това е важно, защото ако Lord Nemesis са успели да пробият имейл системата на „Рашим“, те може да са проникнали в имейл системите на клиентите на „Рашим“, използвайки администраторските акаунти, които сега знаем, че са получили от „Рашим“ – обясни Кенин.

Iranian MuddyWater Hackers

Мрежата от връзки повдигна възможността MuddyWater да са използвали имейл акаунта, свързан с Кинерет, за да разпространяват връзките, като по този начин са създали илюзия за доверие и са подмамили получателите да кликнат върху тях.

„Макар и да не са категорични, времевата рамка и контекстът на събитията показват потенциално предаване или сътрудничество между IRGC и MOIS с цел нанасяне на възможно най-големи вреди на израелски организации и лица“, допълва още Кенин.

Атаките се отличават и с това, че разчитат на набор от домейни и IP адреси, колективно наречени DarkBeatC2, които отговарят за управлението на заразените крайни точки. Това се постига с помощта на PowerShell код, предназначен за установяване на контакт със C2 сървъра след получаване на първоначален достъп по друг начин.

Според независими констатации на Palo Alto Networks Unit 42 е наблюдавано, че  заплахата злоупотребява с функцията AutodialDLL на регистъра на Windows, за да зареди странично злонамерен DLL и в крайна сметка да установи връзки с домейна DarkBeatC2.

Механизмът по-специално включва установяване на устойчивост чрез планирана задача, която изпълнява PowerShell, за да използва ключа AutodialDLL в регистъра и да зареди DLL за C2 рамката. Фирмата за киберсигурност заяви, че техниката е била използвана в кибератака, насочена към неназована цел в Близкия изток.

Другите методи, възприети от MuddyWater за установяване на връзка C2, включват използването на полезен товар на първия етап, доставен чрез електронно писмо за spear-phishing, и използването на странично зареждане на DLL за изпълнение на злонамерена библиотека.

Успешната връзка позволява на заразения хост да получи PowerShell отговори, които от своя страна извличат още два PowerShell скрипта от същия сървър.

Докато единият от скриптовете е предназначен да прочете съдържанието на файл с име „C:\ProgramData\SysInt.log“ и да го предаде на сървъра C2 чрез HTTP POST заявка, вторият скрипт периодично анкетира сървъра, за да получи допълнителни полезни товари, и записва резултатите от изпълнението в „SysInt.log“. Понастоящем не е известно точното естество на полезния товар на следващия етап.

„Тази рамка е подобна на предишните C2 рамки, използвани от MuddyWater“, казва Кенин. „PowerShell остава техният „хляб и масло“.“

Любопитен Serpens се насочва към отбранителния сектор с FalseFont Backdoor

Разкритието идва в момент, когато Unit 42 разопакова вътрешната работа на backdoor, наречен FalseFont, който се използва от ирански участник в заплахи, известен като Peach Sandstorm (известен още като APT33, Curious Serpens, Elfin и Refined Kitten), в атаки, насочени към аерокосмическия и отбранителния сектор.

„Участниците в заплахата имитират легитимен софтуер за човешки ресурси, като използват фалшив процес за набиране на работа, за да подмамят жертвите да инсталират задната врата“, казват изследователите по сигурността Том Факърман, Даниел Франк и Джером Туджаг, като описват FalseFont като „високоцелеви“.

След като бъде инсталиран, той представя интерфейс за вход, представящ се за аерокосмическа компания, и прихваща идентификационните данни, както и историята на образованието и заетостта, въведени от жертвата, към контролиран от заплахата C2 сървър във формат JSON.

Имплантът, освен своя компонент за графичен потребителски интерфейс (GUI) за въвеждане на данни от потребителя, също така скрито активира втори компонент във фонов режим, който установява постоянство в системата, събира системни метаданни и изпълнява команди и процеси, изпратени от C2 сървъра.

Други характеристики на FalseFont включват възможността за изтегляне и качване на файлове, кражба на идентификационни данни, заснемане на екранни снимки, прекратяване на определени процеси, изпълнение на команди PowerShell и самоактуализиране на зловредния софтуер.

Източник: The Hacker News

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
15 септември 2024

Microsoft и Quantinuum комбинират HPC, AI и ква...

Технологичният гигант Microsoft и водещият разработчик на квантови ...
15 септември 2024

ФБР: Игнорирайте фалшивите твърдения за хакнати...

Федералното бюро за разследване (ФБР) и Агенцията за киберсигурност...
15 септември 2024

Кражби в режим на киоск

Кампания за зловреден софтуер използва необичайния метод на заключв...
Бъдете социални
Още по темата
15/09/2024

Apple внезапно оттегли съде...

Apple внезапно оттегли съдебния си иск...
10/09/2024

Полша предотвратява руски и...

В понеделник полските служби за сигурност...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!