AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Frammenti di Cyber Warfare: attacchi in Africa con MuddyC2Go

Sotto il radar: tattiche operative e strumenti emergenti del gruppo MuddyWater

Il gruppo hacker iraniano MuddyWater ha rafforzato gli attacchi alle telecomunicazioni in Africa, tramite un nuovo sistema chiamato MuddyC2Go. Questo sistema, gestito da remoto, facilita attacchi informatici e si diffonde attraverso email di phishing o sfruttando vulnerabilità di software non aggiornati. MuddyWater cercherà di rimanere non rilevato il più a lungo possibile per raggiungere i suoi obiettivi.

This pill is also available in English language

Un attore statale iraniano noto come MuddyWater ha intensificato i suoi attacchi contro il settore delle telecomunicazioni in diversi paesi africani, impiegando una nuova piattaforma di comando e controllo (C2) denominata MuddyC2Go. Identificato anche come Seedworm, e con altri alias come Boggy Serpens e Cobalt Ulster, il gruppo opera presumibilmente sotto gli ordini del Ministero dell'Intelligence e Sicurezza iraniano (MOIS). Gli attacchi sono prevalentemente concentrati nel Medio Oriente ma, come riportato dal Symantec Threat Hunter Team, si sono recentemente estesi verso Egitto, Sudan e Tanzania.

Caratteristiche e utilizzo del framework MuddyC2Go

Il framework di MuddyC2Go, sviluppato in Golang, è stato identificato per la prima volta da Deep Instinct come successore di PhonyC2 e MuddyC3, ma ci sono indizi che suggeriscono un suo utilizzo già nel 2020. Sebbene le piena ampiezza delle sue capacità non sia ancora chiara, viene fornito con uno script PowerShell che facilita la connessione automatica al server C2 gestito da Seedworm, permettendo così un accesso remoto al sistema senza interventi manuali.

Modalità operative negli attacchi recenti

I recenti assalti di novembre 2023 hanno mostrato l'uso combinato di strumenti legittimi come SimpleHelp e Venom Proxy, oltre a keylogger personalizzati e altri strumenti disponibili pubblicamente. Le catene di attacco da parte di MuddyWater prevedono l'impiego di email di phishing e l'esecuzione di vulnerabilità note in applicazioni non aggiornate, proseguendo poi con attività di ricognizione, movimento laterale e raccolta di dati all'interno delle reti vittima.

Innovazione e strategia di evasione di MuddyWater

Pur mescolando strumenti esclusivi, tecniche di living-off-the-land e strumenti pubblici, MuddyWater mira a sottrarsi al rilevamento per portare a termine i suoi obiettivi strategici il più a lungo possibile. Symantec sottolinea la costante innovazione e sviluppo dell'arsenale del gruppo per rimanere occulto, evidenziando l'uso massiccio di PowerShell e script collegati come indicatore di attività sospette. In parallelo, un gruppo legato a Israele conosciuto come Gonjeshke Darande ("Sparviero Predatore" in persiano) ha rivendicato atti di cyber sabotaggio che hanno interessato gran parte delle stazioni di servizio in Iran, in risposta alle aggressioni regionali della Repubblica Islamica e dei suoi affiliati.

Seguici su Facebook per altre pillole come questa

19/12/2023 12:28

Marco Verro

Ultime pillole

Attacco hacker in Libano: Hezbollah sotto tiroShock tecnologico e feriti: la guerra cibernetica colpisce Hezbollah in Libano

Violazione dei dati: Fortinet alle prese con un nuovo attacco hacker di 440 GB di informazioni ru...Fortinet sotto attacco: hacker violano la sicurezza e rendono pubbliche le informazioni. Scopri i dettagli e le conseguenze per la privacy degli utenti coinvolti

Scoperte sconvolgenti sul cyber spionaggio: minacce provenienti da Stati-NazioniCome la cyber guerra tra Stati sta cambiando le regole del gioco nel settore tecnologico: dettagli e analisi sugli attacchi recenti

Una nuova era per Flipper Zero con il firmware 1.0Scopri le rivoluzionarie funzionalità del firmware 1.0 di Flipper Zero: miglioramenti nelle prestazioni, JavaScript e connettività potenziata