De Iraanse natiestaatacteur, bekend als Modderig water heeft gebruik gemaakt van een nieuw ontdekt command-and-control (C2) raamwerk genaamd MuddyC2Go bij zijn aanvallen op de telecommunicatiesector in Egypte, Soedan en Tanzania.
Het Symantec Threat Hunter Team, onderdeel van Broadcom, volgt de activiteit onder de naam Seedworm, die ook wordt gevolgd onder de namen Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (voorheen Mercury), Static Kitten, TEMP.Zagros en Gele Nix.
MuddyWater is actief sinds ten minste 2017 en wordt geacht banden te hebben met het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS), waarbij vooral entiteiten in het Midden-Oosten worden uitgekozen.
Het gebruik van MuddyC2Go door de cyberspionagegroep werd vorige maand voor het eerst benadrukt door Deep Instinct, waarin het werd beschreven als een op Golang gebaseerde vervanging voor PhonyC2, zelf een opvolger van MuddyC3. Er zijn echter aanwijzingen dat het mogelijk al in 2020 werd toegepast.
Hoewel de volledige omvang van de mogelijkheden van MuddyC2Go nog niet bekend is, is het uitvoerbare bestand uitgerust met een PowerShell-script dat automatisch verbinding maakt met de C2-server van Seedworm, waardoor de aanvallers op afstand toegang krijgen tot een slachtoffersysteem en de noodzaak voor handmatige uitvoering door een operator wordt vermeden.
De laatste reeks inbraken, die plaatsvonden in november 2023, bleken ook afhankelijk te zijn van SimpleHelp en Venom Proxy, naast een aangepaste keylogger en andere openbaar beschikbare tools.
De aanvalsketens die door de groep zijn opgezet, hebben een staat van dienst in het bewapenen van phishing-e-mails en bekende kwetsbaarheden in niet-gepatchte applicaties voor initiële toegang, gevolgd door het uitvoeren van verkenningen, laterale verplaatsing en gegevensverzameling.
Bij de door Symantec gedocumenteerde aanvallen op een niet nader genoemde telecommunicatieorganisatie werd de MuddyC2Go-launcher uitgevoerd om contact te maken met een door een actor bestuurde server, terwijl ook legitieme software voor externe toegang, zoals AnyDesk en SimpleHelp, werd ingezet.
De entiteit zou eerder in 2023 zijn gecompromitteerd door de tegenstander, waarbij SimpleHelp werd gebruikt om PowerShell te lanceren, proxysoftware te leveren en ook de JumpCloud-tool voor externe toegang te installeren.
“Bij een ander telecommunicatie- en mediabedrijf dat het doelwit was van de aanvallers, werden meerdere incidenten van SimpleHelp gebruikt om verbinding te maken met de bekende Seedworm-infrastructuur”, aldus Symantec. “Er werd ook een aangepaste versie van de Venom Proxy-hacktool op dit netwerk uitgevoerd, evenals de nieuwe aangepaste keylogger die door de aanvallers bij deze activiteit werd gebruikt.”
Door gebruik te maken van een combinatie van op maat gemaakte, van het land afkomstige en openbaar beschikbare tools in zijn aanvalsketens, is het doel om detectie zo lang mogelijk te omzeilen om zijn strategische doelstellingen te bereiken, aldus het bedrijf.
“De groep blijft innoveren en zijn toolset ontwikkelen wanneer dat nodig is om zijn activiteiten onder de radar te houden”, besluit Symantec. “De groep maakt nog steeds intensief gebruik van PowerShell en PowerShell-gerelateerde tools en scripts, wat de noodzaak onderstreept voor organisaties om zich bewust te zijn van verdacht gebruik van PowerShell op hun netwerken.”
De ontwikkeling komt als een aan Israël gelinkte groep genaamd Gonjeshke Darande (wat ‘roofzuchtige mus’ betekent in het Perzisch) beweerde verantwoordelijkheid voor een cyberaanval die een “meerderheid van de benzinepompen in heel Iran” ontwrichtte als reactie op de “agressie van de Islamitische Republiek en haar bondgenoten in de regio.”
De groep, die in oktober 2023 weer opdook na bijna een jaar stil te zijn geweest, wordt verondersteld banden te hebben met het Israëlische Directoraat Militaire Inlichtingendienst, nadat ze destructieve aanvallen had uitgevoerd in Iran, waaronder staalfabrieken, benzinestations en spoorwegnetwerken in het land.
