IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

حملات جاسوسی مخابراتی هکر‌های ایرانی با استفاده از MuddyC2Go

اخبار داغ فناوری اطلاعات و امنیت شبکه


takian.ir iranian hackers using muddyc2go

عامل سایبری ملی-دولتی ایرانی معروف به MuddyWater در حملات خود به بخش مخابرات در مصر، سودان و تانزانیا از فریمورک command-and-control (C2) تازه کشف شده به نام MuddyC2Go استفاده کرده است.

تیم Symantec Threat Hunter، بخشی از Broadcom، این فعالیت‌ها را با نام Seedworm رد‌یابی می‌کند که همچنین با نام‌های Boggy Serpens، Cobalt Ulster، Earth Vetala، ITG17، Mango Sandstorm (سابق Mercury)، Static Kitten، TEMP.Zagros و Yellow Nix شناسایی می‌شود.

گروه MuddyWater که حداقل از سال ٢٠١٧ فعال است، بنابر ادعا‌های این گزارش به وزارت اطلاعات و امنیت ایران (MOIS) وابسته است و در درجه اول نهاد‌هایی را در خاورمیانه هدف قرار می‌دهد.

استفاده گروه جاسوسی سایبری از MuddyC2Go اولین‌بار در ماه گذشته توسط Deep Instinct شناسایی شد و آن را به‌عنوان جایگزینی مبتنی بر Golang برای PhonyC2 توصیف کرد که خود جانشین MuddyC3 است. با‌این‌حال، شواهدی وجود دارد که نشان می‌دهد ممکن است در اوایل سال ٢٠٢٠ این ابزار را به‌کار گرفته شده باشد.

در‌حالی‌که گستره کامل قابلیت‌های MuddyC2Go هنوز مشخص نیست، این فایل اجرایی به یک اسکریپت PowerShell مجهز می‌شود که به طور خودکار به سرور C2 Seedworm متصل شده و در نتیجه به مهاجمان امکان دسترسی از راه دور به سیستم قربانی را می‌دهد و نیاز به اجرای دستی توسط اپراتور را از بین می‌برد.

جدید‌ترین مجموعه نفوذ‌ها که در نوامبر ٢٠٢٣ انجام شد، همچنین به SimpleHelp و Venom Proxy، در کنار یک keylogger سفارشی و سایر ابزار‌های در دسترس عموم متکی بوده‌اند.

زنجیره‌های حمله اجرا شده توسط این گروه دارای سابقه استفاده در ایمیل‌های فیشینگ و آسیب‌پذیری‌های شناخته‌شده در برنامه‌های اصلاح‌نشده جهت دسترسی اولیه، و به‌دنبال آن انجام شناسایی، حرکت جانبی و جمع‌آوری داده‌ها هستند.

در حملات مستند شده توسط سیمانتک که گفته شده در طی آن یک سازمان مخابراتی ناشناس هدف قرار‌گرفته است، لانچر MuddyC2Go برای برقراری ارتباط با یک سرور تحت کنترل مهاجم اجرا شد و در‌عین‌حال نرم‌افزار‌های دسترسی از راه دور قانونی مانند AnyDesk و SimpleHelp را نیز مستقر کرد.

گفته می‌شود که این دسترسی، قبلا در سال ٢٠٢٣ توسط مهاجمین در معرض خطر قرار‌گرفته بود که در آن از SimpleHelp برای راه‌اندازی PowerShell، ارائه نرم‌افزار پراکسی و همچنین نصب ابزار دسترسی از راه دور JumpCloud استفاده شده بود.

سیمانتک در ادمه ادعا‌های خود، خاطرنشان کرد: "در یکی دیگر از شرکت‌های مخابراتی و رسانه‌ای که توسط مهاجمان هدف قرار‌گرفته است، از چندین رویداد SimpleHelp برای اتصال به زیرساخت‌های شناخته‌شده Seedworm استفاده شد. همچنین یک ابزار سفارشی هک ونوم پروکسی و همچنین کی‌لاگر سفارشی جدید که توسط مهاجمان در این فعالیت استفاده می‌شود، در این شبکه اجرا شد".

به گفته این شرکت، با استفاده از ترکیبی از ابزار‌های سفارشی، living-off-the-land و در دسترس عموم قرار گرفتن زنجیره‌های حمله، هدف نهایی این است که تا حداکثر زمانی ممکن در راستای رسیدن به اهداف استراتژیک خود، امکان شناسایی خود را به حداقل برساند.

سیمانتک در پایان می‌گوید: "این گروه به نوآوری و توسعه ابزار‌های خود در صورت لزوم ادامه می‌دهد تا فعالیت‌های خود را از شناسایی محفوظ نگاه دارد. این گروه همچنان از ابزار‌ها و اسکریپت‌های مرتبط با PowerShell و خود PowerShell استفاده زیادی می‌کند و که متعاقبا لزوم آگاهی سازمان‌ها از استفاده مشکوک از PowerShell در شبکه‌های خود را تبدیل به امری ضروری می‌نماید".

این توسعه در حالی صورت می‌گیرد که یک گروه مرتبط با اسرائیل به نام گنجشک درنده (یا Predatory Sparrow) مسئولیت یک حمله سایبری را بر عهده گرفت که به ادعای آنها در پاسخ به «اقدامات جمهوری اسلامی و گروه‌های نیابتی جمهوری اسلامی در منطقه» انجام گرفت که باعث اختلال در «اکثریت پمپ‌های گاز بنزین در سراسر ایران» شد.

این گروه که در اکتبر ٢٠٢٣ پس از نزدیک به یک سال سکوت دوباره ظهور کرد، گمان می‌رود که با اداره اطلاعات نظامی اسرائیل مرتبط است و حملات مخربی را در ایران انجام داده است؛ از‌جمله حمله به تاسیسات تولید فولاد کشور، پمپ‌بنزین‌ها و شبکه‌های ریلی راه‌آهن در ایران.

برچسب ها: Predatory Sparrow, ونوم پروکسی, Venom Proxy, MuddyC2Go, JumpCloud, MuddyC3, PhonyC2, Mango Sandstorm, SimpleHelp, Yellow Nix, Boggy Serpens, Cobalt Ulster, Proxy, MOIS, TEMP.Zagros, Earth Vetala, گنجشک درنده, Cyber Warfare, ITG17, MERCURY, Seedworm, Golang, Iran, AnyDesk, command and control, پراکسی, ایران, Cyber Security, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

چاپ ایمیل