Iraanse MuddyWater-hackers adopteren nieuwe C2-tool 'DarkBeatC2' in de nieuwste campagne

De Iraanse dreigingsactor, bekend als MuddyWater, wordt toegeschreven aan een nieuwe command-and-control (C2)-infrastructuur genaamd DarkBeatC2en wordt de nieuwste tool in zijn arsenaal na SimpleHarm, MuddyC3, PhonyC2 en MuddyC2Go.

“Hoewel ze af en toe overstappen naar een nieuwe tool voor extern beheer of hun C2-framework veranderen, blijven de methoden van MuddyWater constant”, zei Deep Instinct-beveiligingsonderzoeker Simon Kenin in een technisch rapport dat vorige week werd gepubliceerd.

MuddyWater, ook wel Boggy Serpens, Mango Sandstorm en TA450 genoemd, wordt geacht banden te hebben met het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS). Het is bekend dat het al sinds 2017 actief is en spearphishing-aanvallen orkestreert die leiden tot de inzet van verschillende legitieme Remote Monitoring and Management (RMM)-oplossingen op aangetaste systemen.

Eerdere bevindingen van Microsoft laten zien dat de groep banden heeft met een ander Iraans cluster van dreigingsactiviteiten, gevolgd als Storm-1084 (ook wel DarkBit genoemd), waarbij laatstgenoemde de toegang benut om destructieve ruitenwisseraanvallen tegen Israëlische entiteiten te orkestreren.

Cyberbeveiliging

De nieuwste aanvalscampagne, waarvan de details vorige maand ook al door Proofpoint werden onthuld, begint met spear-phishing-e-mails die worden verzonden vanaf gecompromitteerde accounts en die links of bijlagen bevatten die worden gehost op services als Egnyte om de Atera Agent-software te leveren.

Een van de URL's in kwestie is “kinneretacil.egnyte[.]com”, waarbij het subdomein “kinneretacil” verwijst naar “kinneret.ac.il”, een onderwijsinstelling in Israël en een klant van Rashim, die op zijn beurt werd geschonden door Lord Nemesis (ook bekend als Nemesis Kitten of TunnelVision) als onderdeel van een supply chain-aanval gericht op de academische sector in het land.

Lord Nemesis wordt ervan verdacht een ‘faketivistische’ operatie tegen Israël te zijn. Het is ook vermeldenswaard dat Nemesis Kitten een particulier aannemersbedrijf is genaamd Najee Technology, een subgroep binnen Mint Sandstorm die wordt gesteund door de Iraanse Islamitische Revolutionaire Garde (IRGC). Het bedrijf kreeg in september 2022 sancties van het Amerikaanse ministerie van Financiën.

“Dit is belangrijk omdat als 'Lord Nemesis' het e-mailsysteem van Rashim had kunnen binnendringen, ze misschien ook de e-mailsystemen van Rashim's klanten hadden kunnen binnendringen met behulp van de beheerdersaccounts waarvan we nu weten dat ze die van 'Rashim' hebben verkregen,” legde Kenin uit.

Iraanse MuddyWater-hackers

Het web van verbindingen heeft de mogelijkheid doen ontstaan ​​dat MuddyWater mogelijk het e-mailaccount heeft gebruikt dat aan Kinneret is gekoppeld om de links te verspreiden, waardoor de berichten een illusie van vertrouwen krijgen en de ontvangers worden misleid om erop te klikken.

“Hoewel niet overtuigend, wijzen het tijdsbestek en de context van de gebeurtenissen op een mogelijke overdracht of samenwerking tussen de IRGC en MOIS om zoveel mogelijk schade toe te brengen aan Israëlische organisaties en individuen,” voegde Kenin verder toe.

De aanvallen zijn ook opmerkelijk omdat ze afhankelijk zijn van een reeks domeinen en IP-adressen, gezamenlijk DarkBeatC2 genoemd, die verantwoordelijk zijn voor het beheer van de geïnfecteerde eindpunten. Dit wordt bereikt door middel van PowerShell-code die is ontworpen om contact te maken met de C2-server bij het verkrijgen van initiële toegang via andere middelen.

Volgens onafhankelijke bevindingen van Palo Alto Networks Unit 42 is waargenomen dat de bedreigingsacteur de AutodialDLL-functie van het Windows-register misbruikt om een ​​kwaadaardige DLL te laden en uiteindelijk verbindingen met een DarkBeatC2-domein tot stand te brengen.

Het mechanisme omvat met name het tot stand brengen van persistentie via een geplande taak waarbij PowerShell wordt uitgevoerd om de AutodialDLL-registersleutel te gebruiken en het DLL voor C2-framework te laden. Het cyberbeveiligingsbedrijf zei dat de techniek werd gebruikt bij een cyberaanval gericht op een niet nader genoemd doelwit in het Midden-Oosten.

Andere methoden die MuddyWater gebruikt om een ​​C2-verbinding tot stand te brengen, zijn onder meer het gebruik van een eerste fase-payload die wordt geleverd via de spear-phishing-e-mail en het gebruik van DLL-side-loading om een ​​kwaadaardige bibliotheek uit te voeren.

Door een succesvol contact kan de geïnfecteerde host PowerShell-reacties ontvangen die op zijn beurt nog twee PowerShell-scripts van dezelfde server ophalen.

Terwijl een van de scripts is ontworpen om de inhoud van een bestand met de naam “C:ProgramDataSysInt.log” te lezen en deze via een HTTP POST-verzoek naar de C2-server te verzenden, ondervraagt ​​het tweede script periodiek de server om extra payloads te verkrijgen en schrijft de resultaten van de uitvoering naar “SysInt.log.” De exacte aard van de lading in de volgende fase is momenteel onbekend.

Cyberbeveiliging

“Dit raamwerk is vergelijkbaar met de eerdere C2-raamwerken die door MuddyWater werden gebruikt”, aldus Kenin. “PowerShell blijft hun 'brood en boter.'”

Curious Serpens richt zich op defensiesector met FalseFont Backdoor

De onthulling komt terwijl Unit 42 de interne werking van een achterdeur genaamd FalseFont uitpakte die wordt gebruikt door een Iraanse bedreigingsacteur bekend als Peach Sandstorm (ook bekend als APT33, Curious Serpens, Elfin en Refined Kitten) bij aanvallen gericht op de lucht- en ruimtevaart- en defensiesector.

“De bedreigingsactoren imiteren legitieme personeelssoftware en gebruiken een nep-wervingsproces om slachtoffers te misleiden om de achterdeur te installeren”, aldus beveiligingsonderzoekers Tom Fakterman, Daniel Frank en Jerome Tujague, die FalseFont omschrijven als “zeer doelgericht”.

Eenmaal geïnstalleerd, presenteert het een inloginterface die zich voordoet als een lucht- en ruimtevaartbedrijf en legt het de inloggegevens vast, evenals de opleidings- en arbeidsgeschiedenis die door het slachtoffer is ingevoerd op een door de dreigingsactor gecontroleerde C2-server in JSON-formaat.

Het implantaat activeert, naast de grafische gebruikersinterface (GUI) component voor gebruikersinvoer, ook heimelijk een tweede component op de achtergrond die persistentie op het systeem tot stand brengt, systeemmetagegevens verzamelt en opdrachten en processen uitvoert die vanaf de C2-server worden verzonden.

Andere kenmerken van FalseFont zijn onder meer de mogelijkheid om bestanden te downloaden en te uploaden, inloggegevens te stelen, schermafbeeldingen te maken, specifieke processen te beëindigen, PowerShell-opdrachten uit te voeren en de malware zelf bij te werken.

Thijs Van der Does