Η ομάδα Ιρανών hacker MuddyWater, έχει υιοθετήσει ένα νέο εργαλείο που ονομάζεται DarkBeatC2, και γίνεται το πιο πρόσφατο εργαλείο στο οπλοστάσιό της, μετά τα SimpleHarm, MuddyC3, PhonyC2 και MuddyC2Go.
Δείτε επίσης: Βορειοκορεάτες hackers στοχεύουν blockchain engineers με το Kandykorn malware
“Ενώ περιστασιακά αλλάζει σε ένα νέο εργαλείο DarkBeatC2 απομακρυσμένης διαχείρισης ή αλλάζει το πλαίσιο C2, οι μέθοδοι της MuddyWater παραμένουν σταθερές“, δήλωσε ο ερευνητής ασφαλείας της Deep Instinct, Simon Kenin, σε μια τεχνική έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα.
Η ομάδα MuddyWater, που ονομάζεται επίσης Boggy Serpens, Mango Sandstorm και TA450, εκτιμάται ότι συνδέεται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS). Είναι γνωστό ότι είναι ενεργό τουλάχιστον από το 2017, ενορχηστρώνοντας επιθέσεις spear-phishing που οδηγούν στην ανάπτυξη διαφόρων νόμιμων λύσεων Απομακρυσμένης Παρακολούθησης και Διαχείρισης (RMM) σε παραβιασμένα συστήματα.
OpenAI o1: Νέο AI μοντέλο "σκέφτεται" σαν άνθρωπος
Καταγγελία εναντίον γνωστών gaming εταιρειών
Νέες Επαναστατικές Λειτουργίες από την Apple
Προηγούμενα ευρήματα από τη Microsoft δείχνουν ότι η ομάδα MuddyWater που χρησιμοποιεί το νέο DarkBeatC2, έχει δεσμούς με μία άλλη ιρανική ομάδα απειλών που παρακολουθείται ως Storm-1084 (γνωστός και ως DarkBit), με το τελευταίο να αξιοποιεί την πρόσβαση σε ενορχήστρωση καταστροφικών επιθέσεων wiper εναντίον ισραηλινών οντοτήτων.
Δείτε ακόμα: Ουκρανοί hacker καταστρέφουν την υποδομή IT του Moscollector
Η πιο πρόσφατη εκστρατεία επίθεσης, λεπτομέρειες της οποίας αποκαλύφθηκαν επίσης προηγουμένως από την Proofpoint τον περασμένο μήνα, ξεκινά με μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) που αποστέλλονται από παραβιασμένους λογαριασμούς που περιέχουν συνδέσμους ή συνημμένα που φιλοξενούνται σε υπηρεσίες όπως η Egnyte για την παράδοση του λογισμικού Atera Agent.
Ένα από τα εν λόγω URL είναι το “kinneretacil.egnyte[.]com“, όπου ο υποτομέας “kinneretacil” αναφέρεται στο “kinneret.ac.il“, ένα εκπαιδευτικό ίδρυμα στο Ισραήλ και πελάτης του Rashim, ο οποίος, με τη σειρά του, παραβιάστηκε από την Lord Nemesis (γνωστή και ως Nemesis Kitten ή TunnelVision) ως μέρος μιας επίθεσης στην αλυσίδα εφοδιασμού που στοχεύει τον ακαδημαϊκό τομέα της χώρας.
Το Lord Nemesis είναι ύποπτο ότι είναι μια «faketivist» επιχείρηση εναντίον του Ισραήλ. Αξίζει επίσης να σημειωθεί ότι η Nemesis Kitten είναι μια ιδιωτική εργολαβική εταιρεία που ονομάζεται Najee Technology, μια υποομάδα εντός της Mint Sandstorm που υποστηρίζεται από το Σώμα Φρουρών της Ισλαμικής Επανάστασης του Ιράν (IRGC). Η εταιρεία έλαβε κυρώσεις από το Υπουργείο Οικονομικών των ΗΠΑ τον Σεπτέμβριο του 2022.
Δείτε επίσης: Οι Ιρανοί hackers Charming Kitten χρησιμοποιούν το νέο BASICSTAR backdoor
Οι Ιρανοί hackers, όπως η ομάδα MuddyWater, χρησιμοποιούν μια πληθώρα τεχνικών για να επιτύχουν τους στόχους τους, όπως το νέο εργαλείο DarkBeatC2. Μία από αυτές είναι η τεχνική του spear phishing, όπου στέλνουν εξατομικευμένα μηνύματα ηλεκτρονικού ταχυδρομείου στα θύματά τους, προσπαθώντας να τα εξαπατήσουν ώστε να αποκαλύψουν ευαίσθητες πληροφορίες. Επιπλέον, χρησιμοποιούν την τεχνική του watering hole, όπου μολύνουν ιστότοπους που επισκέπτονται συχνά οι στόχοι τους, με σκοπό να μολύνουν τις συσκευές των θυμάτων όταν επισκέπτονται τον ιστότοπο. Οι Ιρανοί hackkers χρησιμοποιούν επίσης την τεχνική της εκμετάλλευσης zero-day, που σημαίνει ότι εκμεταλλεύονται αδυναμίες στο λογισμικό που δεν έχουν ακόμη ανακαλυφθεί από τους κατασκευαστές.
Πηγή: thehackernews