威胁情报信息分享|伊朗黑客利用 MuddyC2Go 在非洲各地对电信行业进行间谍攻击

被称为 MuddyWater 的伊朗APT攻击组织已经利用了一个新发现的命令和控制 (C2) 框架 MuddyC2Go 对埃及、苏丹和坦桑尼亚的电信行业发动攻击。

博通旗下的赛门铁克威胁猎人团队正在追踪这一活动，这一活动被命名为 Seedworm，同时也被称为 Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm（前称 Mercury）、Static Kitten、TEMP.Zagros 和 Yellow Nix。

自2017年起活跃的 MuddyWater 被评估与伊朗情报与安全部（MOIS）有关，主要针对中东地区的实体。

MuddyC2Go 的使用首次由 Deep Instinct 上个月强调，将其描述为基于 Golang 的 PhonyC2 的替代品，PhonyC2 本身是 MuddyC3 的后继者。然而，有证据表明它可能早在2020年就被使用了。

虽然 MuddyC2Go 的全部能力尚未被充分了解，但该可执行文件配备了一个自动连接到 Seedworm 的 C2 服务器的 PowerShell 脚本，从而使攻击者能够远程访问受害系统，并避免了操作员手动执行的需要。

2023年11月发生的最新一轮入侵也被发现依赖 SimpleHelp 和 Venom Proxy，以及自定义键盘记录器和其他公开可用的工具。

该组织发起的攻击链有利用钓鱼邮件和未打补丁应用程序中已知漏洞来获取初始访问权的记录，随后进行侦察、横向移动和数据收集。

在赛门铁克针对一个未具名的电信组织的袭击中记录的攻击中，执行了 MuddyC2Go 启动器，以建立与受攻击者控制的服务器的联系，同时也部署了像 AnyDesk 和 SimpleHelp 这样的合法远程访问软件。

据说这个实体在2023年早些时候已经被对手入侵，当时使用 SimpleHelp 启动 PowerShell，交付代理软件，并安装 JumpCloud 远程访问工具。

赛门铁克指出：“在另一家被攻击者瞄准的电信和媒体公司中，多次使用 SimpleHelp 连接到已知的 Seedworm 基础设施。这个网络上还执行了 Venom Proxy 黑客工具的自定义版本，以及攻击者在这次活动中使用的新型自定义键盘记录器。”

通过在其攻击链中使用定制的、依赖现场资源的和公开可用的工具组合，其目标是尽可能长时间地逃避检测，以实现其战略目标，该公司表示。

赛门铁克总结说：“该团伙继续创新和开发其工具集，以便在必要时保持其活动不被发现。该团伙仍然大量使用 PowerShell 和相关的 PowerShell 工具和脚本，这强调了组织需要注意在其网络上对 PowerShell 的可疑使用。”

就在此事发生之际，一家与以色列有关的团体称为 Gonjeshke Darande（波斯语中意为“捕食麻雀”）声称对一次网络攻击负责，该攻击中断了“伊朗大部分加油站”的服务，以回应“伊斯兰共和国及其在该地区代理人的侵略”。

这个团伙在2023年10月重新出现，在近一年的沉寂后，被认为与以色列军事情报总局有关，曾在伊朗进行破坏性攻击，包括钢铁设施、加油站和该国铁路网络。

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|伊朗黑客利用 MuddyC2Go 在非洲各地对电信行业进行间谍攻击