Хакерская группировка MuddyWater, связанная с Министерством разведки и безопасности Ирана, недавно применила свою фирменную C2-систему MuddyC2Go в атаках на телекоммуникационный сектор Египта, Судана и Танзании. Эта информация была предоставлена командой исследователей Symantec, пишет Securitylab.
MuddyWater, активная с 2017 года, также известна под именами Seedworm, Boggy Serpens, Cobalt Ulster и другими. Инструмент MuddyC2Go, написанный на Golang, был впервые обнаружен компанией Deep Instinct в ноябре этого года. Инструмент является заменой предыдущих C2-систем группировки PhonyC2 и MuddyC3.
MuddyC2Go содержит исполняемый файл с PowerShell-скриптом, который автоматически соединяется с C2-сервером злоумышленников, позволяя им получить удалённый доступ к системе жертвы.
Особенностью атак группы является использование фишинговых писем и уязвимостей в устаревшем неисправленном программном обеспечении для первоначального доступа, за которым следует разведка, боковое перемещение и сбор необходимых хакерам данных.
В последних атаках, зафиксированных в ноябре 2023 года, злоумышленниками также были использованы инструменты SimpleHelp, Venom Proxy, пользовательские кейлоггеры и другие общедоступные программы. При этом, для маскировки своей деятельности, группировка изощрённо сочетает имеющийся в её арсенале софт, стремясь оставаться незаметной как можно дольше для достижения своих стратегических целей.
Отмечается, что MuddyWater продолжает совершенствовать свой арсенал инструментов, активно используя PowerShell и связанные с ним инструменты и скрипты. Это подчёркивает необходимость организаций обращать внимание на любое подозрительное использование PowerShell в своих сетях.