Frammenti di Cyber Warfare: attacchi in Africa con MuddyC2Go
Sotto il radar: tattiche operative e strumenti emergenti del gruppo MuddyWater
Il gruppo hacker iraniano MuddyWater ha rafforzato gli attacchi alle telecomunicazioni in Africa, tramite un nuovo sistema chiamato MuddyC2Go. Questo sistema, gestito da remoto, facilita attacchi informatici e si diffonde attraverso email di phishing o sfruttando vulnerabilità di software non aggiornati. MuddyWater cercherà di rimanere non rilevato il più a lungo possibile per raggiungere i suoi obiettivi.
Un attore statale iraniano noto come MuddyWater ha intensificato i suoi attacchi contro il settore delle telecomunicazioni in diversi paesi africani, impiegando una nuova piattaforma di comando e controllo (C2) denominata MuddyC2Go. Identificato anche come Seedworm, e con altri alias come Boggy Serpens e Cobalt Ulster, il gruppo opera presumibilmente sotto gli ordini del Ministero dell'Intelligence e Sicurezza iraniano (MOIS). Gli attacchi sono prevalentemente concentrati nel Medio Oriente ma, come riportato dal Symantec Threat Hunter Team, si sono recentemente estesi verso Egitto, Sudan e Tanzania.
Caratteristiche e utilizzo del framework MuddyC2Go
Il framework di MuddyC2Go, sviluppato in Golang, è stato identificato per la prima volta da Deep Instinct come successore di PhonyC2 e MuddyC3, ma ci sono indizi che suggeriscono un suo utilizzo già nel 2020. Sebbene le piena ampiezza delle sue capacità non sia ancora chiara, viene fornito con uno script PowerShell che facilita la connessione automatica al server C2 gestito da Seedworm, permettendo così un accesso remoto al sistema senza interventi manuali.
Modalità operative negli attacchi recenti
I recenti assalti di novembre 2023 hanno mostrato l'uso combinato di strumenti legittimi come SimpleHelp e Venom Proxy, oltre a keylogger personalizzati e altri strumenti disponibili pubblicamente. Le catene di attacco da parte di MuddyWater prevedono l'impiego di email di phishing e l'esecuzione di vulnerabilità note in applicazioni non aggiornate, proseguendo poi con attività di ricognizione, movimento laterale e raccolta di dati all'interno delle reti vittima.
Innovazione e strategia di evasione di MuddyWater
Pur mescolando strumenti esclusivi, tecniche di living-off-the-land e strumenti pubblici, MuddyWater mira a sottrarsi al rilevamento per portare a termine i suoi obiettivi strategici il più a lungo possibile. Symantec sottolinea la costante innovazione e sviluppo dell'arsenale del gruppo per rimanere occulto, evidenziando l'uso massiccio di PowerShell e script collegati come indicatore di attività sospette. In parallelo, un gruppo legato a Israele conosciuto come Gonjeshke Darande ("Sparviero Predatore" in persiano) ha rivendicato atti di cyber sabotaggio che hanno interessato gran parte delle stazioni di servizio in Iran, in risposta alle aggressioni regionali della Repubblica Islamica e dei suoi affiliati.
Seguici su Facebook per altre pillole come questa19/12/2023 12:28
Marco Verro