探索网络安全新技术
攀登黑客技术最高峰

从MuddyC3到PhonyC2:伊朗MuddyWater间谍组织用新的网络武器进化

从MuddyC3到PhonyC2:伊朗MuddyWater间谍组织用新的网络武器进化-威武网安

伊朗政府支持的组织MuddyWater被归因于一种以前未见过的命令和控制(C2)框架,称为PhonyC2,自2021年以来一直被该组织使用。

网络安全公司Deep Instinct在与The Hacker News分享的报告中称,证据表明,这种定制的、积极开发的框架已经在2023年2月对以色列研究机构Technion的攻击中得到利用。

此外,还发现了PhonyC2程序与MuddyWater进行的其他攻击之间的额外联系,包括正在进行的PaperCut服务器利用。

“它在结构和功能上与MuddyC3非常相似,后者是以前由MuddyWater编写的基于Python 2的自定义C2框架,”安全研究员Simon Kenin说道。“MuddyWater不断更新PhonyC2框架并更改TTPs以避免被检测。”

MuddyWater,也被称为Mango Sandstorm(以前是Mercury),是一个网络间谍组织,自2017年以来一直以伊朗情报和安全部(MOIS)的名义运作。

这些发现出现在微软指责该威胁行为在混合环境中进行破坏性攻击、并称其与被追踪为Storm-1084(又称DEV-1084或DarkBit)的相关集群合作进行侦察、持久性和横向移动近三个月之后。

“伊朗进行的网络行动旨在为战略目的进行情报收集,主要针对邻国,尤其是以色列、沙特阿拉伯和阿拉伯海湾国家等伊朗的地缘政治对手,这是自2011年以来所有行动中持续关注的焦点。”法国网络安全公司Sekoia在一份针对亲伊朗政府网络攻击的概述中表示。

该组织编排的攻击链,像其他与伊朗有关联的入侵集合一样,利用易受攻击的公共面向服务器和社会工程学作为主要的初始访问点来攻击感兴趣的目标。

从MuddyC3到PhonyC2:伊朗MuddyWater间谍组织用新的网络武器进化-威武网安

去年,Recorded Future指出,这些社交工程方法包括使用虚假账号、承诺未来的工作机会、通过记者寻求意见以及伪装成智库专家等手段。”在进行网络间谍和信息操作时,社交工程是伊朗APT技术的核心组成部分。”

Deep Instinct称,他们在今年4月发现了PhonyC2框架,它位于与MuddyWater在早些时候针对Technion的攻击中使用的更广泛基础设施相关的服务器上。同一台服务器还被发现托管了Ligolo,这是该威胁行为常用的反向隧道工具。

从MuddyC3到PhonyC2:伊朗MuddyWater间谍组织用新的网络武器进化-威武网安

这种联系源于” C:\programdata\db.sqlite “和” C:\programdata\db.ps1 “这些文件名,微软将它们描述为MuddyWater使用的定制PowerShell后门,并通过PhonyC2框架动态生成以在受感染的主机上执行。

Kenin称,PhonyC2是一个”后渗透框架,用于生成各种有效载荷,连接到C2并等待操作者的指令来执行’入侵杀链’的最后一步”。他将其称为MuddyC3和POWERSTATS的继任者。

该框架支持的一些值得注意的命令如下:

payload:生成有效载荷”C:\programdata\db.sqlite”和”C:\programdata\db.ps1″,以及一个PowerShell命令来执行db.ps1,进而执行db.sqlite
droper:创建不同变体的PowerShell命令,通过访问C2服务器并将服务器发送的编码内容写入文件,生成”C:\programdata\db.sqlite”
Ex3cut3:创建不同变体的PowerShell命令,生成包含解码db.sqlite逻辑和最终阶段的脚本”C:\programdata\db.ps1″
list:枚举所有连接到C2服务器的机器
setcommandforall:同时在所有连接的主机上执行相同的命令
use:在远程计算机上获取PowerShell shell以运行更多命令
persist:生成PowerShell代码以使操作者在受感染的主机上获得持久性,使其在重新启动后重新连接到服务器

“该框架为操作者生成不同的PowerShell有效载荷,”Deep Instinct的威胁研究团队负责人Mark Vaitzman告诉The Hacker News。”操作者需要初始访问受害者机器来执行它们。一些生成的有效载荷连接回操作者的C2,以实现持久性。”

MuddyWater远非唯一一家将目光投向以色列的伊朗国家级组织。最近几个月,该国的各个实体至少遭到了三个不同的威胁行为者的攻击,如Charming Kitten(又称APT35)、Imperial Kitten(又称Tortoiseshell)和Agrius(又称Pink Sandstorm)。

“C2是连接攻击的初始阶段和最终步骤的桥梁,”Vaitzman说。”对于MuddyWater来说,C2框架非常重要,因为它使他们能够保持隐蔽并从受害者那里收集数据。这不是他们在重大攻击中使用的第一个或最后一个自定义C2框架。”

打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《从MuddyC3到PhonyC2:伊朗MuddyWater间谍组织用新的网络武器进化》
文章链接:https://www.wevul.com/1788.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

文章推荐

如果文章对您有帮助 请不要吝啬 打赏一下小站

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册