Ciberseguridad 360 | De MuddyC3 a PhonyC2: MuddyWater de Irán evoluciona con una nueva arma cibernética

El grupo patrocinado por el estado iran� denominado MuddyWater se ha atribuido a un marco de comando y control (C2) nunca antes visto llamado PhonyC2 que el actor ha puesto en uso desde 2021.

La evidencia muestra que el marco desarrollado activamente y personalizado se aprovech� en el ataque de febrero de 2023 contra Technion , un instituto de investigaci�n israel�, dijo la firma de seguridad cibern�tica Deep Instinct en un informe compartido con The Hacker News.

Adem�s, se han descubierto v�nculos adicionales entre el programa basado en Python 3 y otros ataques llevados a cabo por MuddyWater, incluida la explotaci�n continua de los servidores PaperCut .

"Es estructural y funcionalmente similar a MuddyC3 , un marco C2 personalizado de MuddyWater anterior que se escribi� en Python 2", dijo el investigador de seguridad Simon Kenin. "MuddyWater actualiza continuamente el marco de PhonyC2 y cambia los TTP para evitar la detecci�n".

MuddyWater, tambi�n conocido como Mango Sandstorm (anteriormente Mercury), es un grupo de ciberespionaje que se sabe que opera en nombre del Ministerio de Inteligencia y Seguridad de Ir�n (MOIS) desde al menos 2017.

Los hallazgos llegan casi tres meses despu�s de que Microsoft implicara al actor de amenazas por llevar a cabo ataques destructivos en entornos h�bridos, al tiempo que destacaba su colaboraci�n con un cl�ster relacionado rastreado como Storm-1084 (tambi�n conocido como DEV-1084 o DarkBit) para reconocimiento, persistencia y movimiento lateral.

?Ir�n realiza operaciones cibern�ticas con el objetivo de recopilar inteligencia con fines estrat�gicos, apuntando esencialmente a los estados vecinos, en particular a los rivales geopol�ticos de Ir�n como Israel, Arabia Saudita y los pa�ses del Golfo Ar�bigo, un enfoque continuo observado en todas las operaciones desde 2011?, dijo la empresa francesa de ciberseguridad Sekoia. dijo en una descripci�n general de los ataques cibern�ticos del gobierno pro iran�.

Las cadenas de ataque orquestadas por el grupo, al igual que otros conjuntos de intrusi�n de Ir�n-nexus, emplean servidores p�blicos vulnerables e ingenier�a social como los principales puntos de acceso iniciales para violar objetivos de inter�s.

"Estos incluyen el uso de t�teres de calcetines carism�ticos, el atractivo de posibles oportunidades laborales, solicitudes de periodistas y hacerse pasar por expertos de grupos de expertos que buscan opiniones", se�al� Recorded Future el a�o pasado . "El uso de la ingenier�a social es un componente central del comercio APT iran� cuando se involucra en operaciones de informaci�n y espionaje cibern�tico".

Deep Instinct dijo que descubri� el marco PhonyC2 en abril de 2023 en un servidor que est� relacionado con una infraestructura m�s amplia utilizada por MuddyWater en su ataque dirigido a Technion a principios de este a�o. Tambi�n se descubri� que el mismo servidor albergaba Ligolo , una herramienta b�sica de tunelizaci�n inversa utilizada por el actor de amenazas.

La conexi�n se deriva de los nombres de los artefactos "C:\programdata\db.sqlite" y "C:\programdata\db.ps1", que Microsoft describi� como puertas traseras personalizadas de PowerShell utilizadas por MuddyWater y que se generan din�micamente a trav�s del marco PhonyC2 para su ejecuci�n. sobre el hu�sped infectado.

PhonyC2 es un "marco posterior a la explotaci�n que se utiliza para generar varias cargas �tiles que se conectan de nuevo al C2 y esperan las instrucciones del operador para realizar el paso final de la 'cadena de destrucci�n de intrusos'", dijo Kenin, calific�ndolo como sucesor de MuddyC3 y ESTAD�STICAS DE POTENCIA .

Algunos de los comandos notables admitidos por el marco son los siguientes:

payload : genere las cargas �tiles "C:\programdata\db.sqlite" y "C:\programdata\db.ps1", as� como un comando de PowerShell para ejecutar db.ps1, que, a su vez, ejecuta db.sqlite
droper : cree diferentes variantes de los comandos de PowerShell para generar "C:\programdata\db.sqlite" accediendo al servidor C2 y escribiendo el contenido codificado enviado por el servidor al archivo
Ex3cut3 : cree diferentes variantes de los comandos de PowerShell para generar "C:\programdata\db.ps1", un script que contiene la l�gica para decodificar db.sqlite, y la etapa final
list : enumera todas las m�quinas conectadas al servidor C2
setcommandforall : ejecuta el mismo comando en todos los hosts conectados simult�neamente
uso : obtenga un shell de PowerShell en una computadora remota para ejecutar m�s comandos
persistir : genere un c�digo de PowerShell para permitir que el operador obtenga persistencia en el host infectado para que se vuelva a conectar al servidor al reiniciar

"El marco genera para el operador diferentes cargas �tiles de PowerShell", dijo a The Hacker News Mark Vaitzman, l�der del equipo de investigaci�n de amenazas de Deep Instinct. "El operador necesita tener acceso inicial a una m�quina v�ctima para ejecutarlos. Algunas de las cargas �tiles generadas se conectan de nuevo al operador C2 para permitir la persistencia".

Muddywater est� lejos de ser el �nico grupo de estado-naci�n iran� que entrena sus ojos en Israel. En los �ltimos meses, varias entidades del pa�s han sido atacadas por al menos tres actores diferentes, como Charming Kitten (tambi�n conocido como APT35), Imperial Kitten (tambi�n conocido como Tortoiseshell) y Agrius (tambi�n conocido como Pink Sandstorm).

?El C2 es lo que conecta la fase inicial del ataque con el paso final?, dijo Vaitzman. "Para MuddyWater, el marco C2 es muy importante, ya que les permite mantenerse sigilosos y recopilar datos de las v�ctimas. Este no es el primer ni el �ltimo marco C2 personalizado que utilizan durante los ataques importantes".

Fuente: THN.