被称为 MuddyWater 的伊朗威胁行为者归因于一种名为DarkBeatC2的新命令与控制 (C2) 基础设施,成为继SimpleHarm、MuddyC3、PhonyC2和MuddyC2Go之后其武器库中最新的此类工具。
“虽然偶尔会切换到新的远程管理工具或更改其 C2 框架,但 MuddyWater 的方法保持不变,”Deep Instinct 安全研究员 Simon Kenin在上周发布的一份技术报告中表示。
MuddyWater,也称为 Boggy Serpens、Mango Sandstorm 和 TA450,被评估隶属于伊朗情报和安全部 (MOIS)。据了解,该组织至少自 2017 年起就一直活跃,精心策划鱼叉式网络钓鱼攻击,导致在受感染的系统上部署各种合法的远程监控和管理 (RMM) 解决方案。
微软之前的调查结果显示,该组织与另一个被追踪为Storm-1084(又名 DarkBit)的伊朗威胁活动集群有联系,后者利用该访问权限策划针对以色列实体的破坏性擦除攻击。
Proofpoint 上个月也透露了最新的攻击活动的详细信息,该活动首先从受感染的帐户发送鱼叉式网络钓鱼电子邮件,其中包含托管在 Egnyte 等服务上的链接或附件,用于交付 Atera Agent 软件。
其中一个有问题的 URL 是“kinneretacil.egnyte[.]com”,其中子域“kinneretacil”指的是“kinneret.ac.il”,它是以色列的一所教育机构,也是 Rashim 的客户,而 Rashim 则是Lord Nemesis(又名Nemesis Kitten或 TunnelVision)在针对该国学术部门的供应链攻击中攻破了该漏洞。
Lord Nemesis 被怀疑是针对以色列的“假行动”行动。还值得注意的是,Nemesis Kitten 是一家名为 Najee Technology 的私人承包公司,是Mint Sandstorm旗下的一个子集团,得到伊朗伊斯兰革命卫队 (IRGC) 的支持。该公司于2022年9月受到美国财政部的制裁。
“这很重要,因为如果‘复仇女神’能够侵入拉希姆的电子邮件系统,他们可能会使用我们现在知道他们从‘拉希姆’那里获得的管理帐户来侵入拉希姆客户的电子邮件系统,”凯宁解释道。
连接网络提出了 MuddyWater 可能使用与 Kinneret 关联的电子邮件帐户来分发链接的可能性,从而给消息带来信任假象并欺骗收件人点击它们。
凯宁进一步补充说:“虽然尚无定论,但事件的时间框架和背景表明,伊斯兰革命卫队和伊斯兰革命卫队之间可能存在交接或合作,对以色列组织和个人造成尽可能多的伤害。”
这些攻击还因依赖一组统称为 DarkBeatC2 的域和 IP 地址而引人注目,这些域和 IP 地址负责管理受感染的端点。这是通过 PowerShell 代码来完成的,该代码旨在通过其他方式获得初始访问权限后与 C2 服务器建立联系。
根据Palo Alto Networks Unit 42 的独立调查结果,威胁行为者被发现滥用 Windows 注册表的 AutodialDLL 函数来旁加载恶意 DLL,并最终与 DarkBeatC2 域建立连接。
该机制尤其涉及通过运行 PowerShell 的计划任务来建立持久性,以利用 AutodialDLL 注册表项并加载 C2 框架的 DLL。这家网络安全公司表示,该技术已用于针对未透露姓名的中东目标的网络攻击。
MuddyWater 建立 C2 连接所采用的其他方法包括使用通过鱼叉式网络钓鱼电子邮件传递的第一阶段有效负载以及利用 DLL 侧面加载来执行恶意库。
成功的联系允许受感染的主机接收 PowerShell 响应,该响应从同一服务器获取另外两个 PowerShell 脚本。
其中一个脚本旨在读取名为“C:\ProgramData\SysInt.log”的文件的内容并通过 HTTP POST 请求将其传输到 C2 服务器,而第二个脚本会定期轮询服务器以获取额外的有效负载并将执行结果写入“SysInt.log”。目前尚不清楚下一阶段有效载荷的确切性质。
“这个框架与 MuddyWater 之前使用的 C2 框架类似,”Kenin 说。 “PowerShell 仍然是他们的‘面包和黄油’。”
好奇的 Serpens 通过 FalseFont 后门瞄准国防部门#
此次披露之际,Unit 42 解开了名为FalseFont的后门的内部运作方式,该后门被名为 Peach Sandstorm(又名 APT33、Curious Serpens、Elfin 和 Refined Kitten)的伊朗威胁组织用于针对航空航天和国防部门的攻击。
安全研究人员汤姆·法克特曼 (Tom Fakterman)、丹尼尔·弗兰克 (Daniel Frank) 和杰罗姆·图贾格 (Jerome Tujague)表示,“威胁行为者模仿合法的人力资源软件,使用虚假的招聘流程来诱骗受害者安装后门”,并将 FalseFont 描述为“高度针对性”。
安装后,它会呈现一个冒充航空航天公司的登录界面,并捕获受害者以 JSON 格式向威胁行为者控制的 C2 服务器输入的凭据以及教育和就业历史记录。
除了用于用户交互的图形用户界面 (GUI) 模块之外,植入程序还会秘密激活后台的第二个组件,该组件在系统上建立持久性、收集系统元数据并执行从 C2 服务器发送的命令和进程。
FalseFont 的其他功能包括下载和上传文件、窃取凭据、捕获屏幕截图、终止特定进程、运行 PowerShell 命令以及自我更新恶意软件的能力。
发表评论
您还未登录,请先登录。
登录