Dari MuddyC3 hingga PhonyC2: MuddyWater Iran Berkembang dengan Senjata Cyber Baru

29 Juni 2023 Ravie Lakshmanan

Kelompok yang disponsori negara Iran yang dijuluki MuddyWater telah dikaitkan dengan kerangka komando dan kontrol (C2) yang sebelumnya tidak terlihat yang disebut PalsuC2 yang telah digunakan oleh aktor tersebut sejak tahun 2021.

Bukti menunjukkan bahwa kerangka kerja yang dibuat khusus dan dikembangkan secara aktif telah dimanfaatkan dalam serangan Februari 2023 terhadap Technion, sebuah lembaga penelitian Israel, kata perusahaan keamanan siber Deep Instinct dalam sebuah laporan yang dibagikan kepada The Hacker News.

Terlebih lagi, hubungan tambahan telah ditemukan antara program berbasis Python 3 dan serangan lain yang dilakukan oleh MuddyWater, termasuk eksploitasi berkelanjutan terhadap server PaperCut.

“Ini secara struktural dan fungsional mirip dengan MuddyC3, kerangka kerja C2 kustom MuddyWater sebelumnya yang ditulis dengan Python 2,” kata peneliti keamanan Simon Kenin. “MuddyWater terus memperbarui kerangka PhonyC2 dan mengubah TTP untuk menghindari deteksi.”

MuddyWater, juga dikenal sebagai Mango Sandstorm (sebelumnya Mercury), adalah kelompok spionase dunia maya yang diketahui beroperasi atas nama Kementerian Intelijen dan Keamanan Iran (MOIS) setidaknya sejak tahun 2017.

Temuan ini muncul hampir tiga bulan setelah Microsoft mengimplikasikan aktor ancaman tersebut melakukan serangan destruktif pada lingkungan hybrid, dan juga menyerukan kolaborasinya dengan cluster terkait yang dilacak sebagai Storm-1084 (alias DEV-1084 atau DarkBit) untuk pengintaian, ketekunan, dan gerakan lateral.

“Iran melakukan operasi siber yang bertujuan mengumpulkan intelijen untuk tujuan strategis, yang pada dasarnya menargetkan negara-negara tetangga, khususnya saingan geopolitik Iran seperti Israel, Arab Saudi, dan negara-negara Teluk Arab, sebuah fokus berkelanjutan yang diamati dalam semua operasi sejak tahun 2011,” perusahaan keamanan siber Perancis, Sekoia mengatakan dalam ikhtisar serangan siber yang pro-pemerintah Iran.

Rantai serangan yang diatur oleh kelompok tersebut, seperti rangkaian intrusi Iran-nexus lainnya, menggunakan server rentan yang dapat dilihat oleh publik dan rekayasa sosial sebagai titik akses awal utama untuk melanggar target yang diinginkan.

“Ini termasuk penggunaan boneka kaus kaki yang karismatik, iming-iming peluang kerja yang prospektif, ajakan jurnalis, dan penyamaran sebagai pakar lembaga think tank untuk mencari opini,” kata Recorded Future tahun lalu. “Penggunaan rekayasa sosial adalah komponen utama dari keahlian APT Iran ketika terlibat dalam spionase dunia maya dan operasi informasi.”

Deep Instinct mengatakan pihaknya menemukan kerangka PhonyC2 pada April 2023 di server yang terkait dengan infrastruktur lebih luas yang digunakan oleh MuddyWater dalam serangannya yang menargetkan Technion awal tahun ini. Server yang sama juga ditemukan untuk menampung Ligolo, alat penerowongan terbalik yang digunakan oleh pelaku ancaman.

Koneksi Technion juga berasal dari nama artefak “C:\programdata\db.sqlite” dan “C:\programdata\db.ps1,” yang digambarkan Microsoft sebagai pintu belakang PowerShell khusus yang digunakan oleh MuddyWater dan dihasilkan secara dinamis melalui kerangka PhonyC2 untuk dieksekusi pada host yang terinfeksi.

PhonyC2 adalah “kerangka kerja pasca-eksploitasi yang digunakan untuk menghasilkan berbagai muatan yang terhubung kembali ke C2 dan menunggu instruksi dari operator untuk melakukan langkah terakhir dari ‘rantai pembunuhan intrusi’,” kata Kenin, menyebutnya sebagai penerus MuddyC3 dan POWERSTAT.

Beberapa perintah penting yang didukung oleh kerangka kerja ini adalah sebagai berikut –

muatan: Menghasilkan payload “C:\programdata\db.sqlite” dan “C:\programdata\db.ps1” serta perintah PowerShell untuk mengeksekusi db.ps1, yang kemudian mengeksekusi db.sqlite

tetes: Buat varian berbeda dari perintah PowerShell untuk menghasilkan “C:\programdata\db.sqlite” dengan menjangkau server C2 dan menulis konten berkode yang dikirim oleh server ke file

Ex3cut3: Membuat varian berbeda dari perintah PowerShell untuk menghasilkan “C:\programdata\db.ps1” — skrip yang berisi logika untuk memecahkan kode db.sqlite — dan tahap akhir

daftar: Menghitung semua mesin yang terhubung ke server C2

setcommandforall: Jalankan perintah yang sama di semua host yang terhubung secara bersamaan

menggunakan: Dapatkan shell PowerShell di komputer jarak jauh untuk menjalankan lebih banyak perintah

bertahan: Hasilkan kode PowerShell untuk memungkinkan operator mendapatkan persistensi pada host yang terinfeksi sehingga akan terhubung kembali ke server setelah restart

“Kerangka kerja ini menghasilkan muatan PowerShell yang berbeda bagi operator,” Mark Vaitzman, pemimpin tim peneliti ancaman di Deep Instinct, mengatakan kepada The Hacker News. “Operator harus memiliki akses awal ke mesin korban untuk mengeksekusinya. Beberapa muatan yang dihasilkan terhubung kembali ke operator C2 untuk memungkinkan persistensi.”

Muddywater bukanlah satu-satunya kelompok negara-bangsa Iran yang menaruh perhatian pada Israel. Dalam beberapa bulan terakhir, berbagai entitas di negara ini telah menjadi sasaran setidaknya tiga aktor berbeda seperti Charming Kitten (alias APT35), Imperial Kitten (alias Tortoiseshell), dan Agrius (alias Pink Sandstorm).

“C2 inilah yang menghubungkan fase awal serangan dengan langkah terakhir,” kata Vaitzman. “Bagi MuddyWater, kerangka kerja C2 sangat penting karena memungkinkan mereka untuk tetap diam-diam dan mengumpulkan data dari para korban. Ini bukan kerangka kerja C2 khusus pertama atau terakhir yang mereka gunakan selama serangan besar.”

Apakah artikel ini menarik? Ikuti kami di Twitter  dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.

Source link

You may also like

Buat Awal Baru di Tahun 2024: Bersihkan Inventaris Pengguna Anda untuk Mengurangi Risiko SaaS

Solusi Gratis Ini Memberikan Manajemen Risiko Pihak Ketiga yang Penting untuk SaaS

Ubah Postur Keamanan Data Anda – Belajar dari Kesuksesan DSPM SoFi

Leave a ReplyCancel Reply