İranlı Hackerlar Afrika'daki Telekom Casusluk Saldırılarında MuddyC2Go Kullanıyor
MuddyWater olarak bilinen İran ulus devlet aktörü, Mısır, Sudan ve Tanzanya'daki telekomünikasyon sektörüne yönelik saldırılarında MuddyC2Go adlı yeni keşfedilen bir komuta ve kontrol (C2) çerçevesinden yararlandı.
Broadcom'un bir parçası olan Symantec Tehdit Avcısı Ekibi, Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (eski adıyla Mercury), Static Kitten, TEMP takma adları altında da izlenen Seedworm adı altında etkinliği izliyor. Zagros ve Sarı Nix.
En az 2017'den beri aktif olan MuddyWater'ın İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlı olduğu değerlendiriliyor.
Siber casusluk grubunun MuddyC2Go kullanımı ilk olarak geçen ay Deep Instinct tarafından vurgulandı ve kendisi de MuddyC3'ün halefi olan PhonyC2'nin Golang tabanlı bir yedeği olarak tanımlandı. Bununla birlikte, 2020 gibi erken bir tarihte kullanılmış olabileceğini gösteren kanıtlar var.
MuddyC2Go'nun yeteneklerinin tam kapsamı henüz bilinmemekle birlikte, yürütülebilir dosya, Seedworm'un C2 sunucusuna otomatik olarak bağlanan ve böylece saldırganlara bir kurban sistemine uzaktan erişim sağlayan ve bir operatör tarafından manuel yürütme ihtiyacını ortadan kaldıran bir PowerShell komut dosyası ile donatılmıştır.
Kasım 2023'te gerçekleşen en son izinsiz giriş setinin, özel bir keylogger ve diğer halka açık araçların yanı sıra SimpleHelp ve Venom Proxy'ye de dayandığı tespit edildi.
Grup tarafından kurulan saldırı zincirleri, kimlik avı e-postalarını ve yamalanmamış uygulamalardaki bilinen güvenlik açıklarını ilk erişim için silahlandırma ve ardından keşif, yanal hareket ve veri toplama gerçekleştirme konusunda bir geçmişe sahiptir.
Symantec'in isimsiz bir telekomünikasyon kuruluşunu hedef alan saldırılarında MuddyC2Go başlatıcısı, AnyDesk ve SimpleHelp gibi meşru uzaktan erişim yazılımlarını dağıtırken, aktör tarafından kontrol edilen bir sunucuyla iletişim kurmak için yürütüldü.
Varlığın daha önce 2023'ün başlarında SimpleHelp'in PowerShell'i başlatmak, proxy yazılımı sağlamak ve ayrıca JumpCloud uzaktan erişim aracını yüklemek için kullanıldığı düşman tarafından ele geçirildiği söyleniyor.
Symantec, "Saldırganlar tarafından hedef alınan başka bir telekomünikasyon ve medya şirketinde, bilinen Seedworm altyapısına bağlanmak için birden fazla SimpleHelp olayı kullanıldı" dedi. "Venom Proxy hack aracının özel bir yapısı ve bu etkinlikte saldırganlar tarafından kullanılan yeni özel keylogger da bu ağda yürütüldü."
Şirket, saldırı zincirlerinde ısmarlama, karada yaşayan ve halka açık araçların bir kombinasyonunu kullanarak, stratejik hedeflerine ulaşmak için mümkün olduğunca uzun süre tespit edilmekten kaçınmayı amaçladığını söyledi.
Symantec, "Grup, faaliyetlerini radar altında tutmak için gerektiğinde araç setini yenilemeye ve geliştirmeye devam ediyor" dedi. "Grup, PowerShell ve PowerShell ile ilgili araçları ve betikleri yoğun bir şekilde kullanmaya devam ediyor ve kuruluşların ağlarında PowerShell'in şüpheli kullanımının farkında olmaları gerektiğinin altını çiziyor."
Gelişme, Gonjeshke Darande (Farsça'da "Yırtıcı Serçe" anlamına gelir) adlı İsrail bağlantılı bir grubun, "İslam Cumhuriyeti'nin ve bölgedeki vekillerinin saldırganlığına" yanıt olarak "İran'daki benzin pompalarının çoğunu" kesintiye uğratan bir siber saldırının sorumluluğunu üstlenmesinin ardından geldi.
Yaklaşık bir yıl sessiz kaldıktan sonra Ekim 2023'te yeniden ortaya çıkan grubun, İran'da ülkedeki çelik tesisleri, benzin istasyonları ve demiryolu ağları da dahil olmak üzere yıkıcı saldırılar düzenleyen İsrail Askeri İstihbarat Müdürlüğü ile bağlantılı olduğuna inanılıyor.
Siber saldırı, İsrail Ulusal Siber Müdürlüğü'nün (INCD) İran'ı ve Hamas yanlısı grup Hizbullah'ı Ziv Hastanesi'ni başarısız bir şekilde bozmaya çalışmakla suçlayan ve saldırıyı Agrius ve Lübnanlı Cedar adlı tehdit aktörlerine atfeden bir tavsiyesinin ardından geldi.
INCD, "Saldırı, İran İstihbarat Bakanlığı tarafından, Muhammed Ali Merhi liderliğindeki Hizbullah'ın 'Lübnan Sediri' siber birimlerinin katılımıyla gerçekleştirildi" dedi.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı