عامل تهدید تحت حمایت دولت ایران موسوم به MuddyWater در حملات خود به بخش مخابرات مصر، سودان و تانزانیا از فریمورک فرمان و کنترل (C2) تازه کشف شده به نام MuddyC2Go استفاده کرده است. این فعالیت که توسط سیمانتک، Seedworm نامیده میشود، با نامهای Boggy Serpens، Cobalt Ulster، Earth Vetala، ITG17، Mango Sandstorm (Mercury سابق)، Static Kitten، TEMP.Zagros و Yellow Nix دنبال میگردد.
MuddyWater، گروه وابسته به وزارت اطلاعات و امنیت ایران، حداقل از سال ۲۰۱۷ فعال میباشد و نهادهایی را در خاورمیانه مورد هدف قرار میدهد. در حالی که گستره قابلیتهای MuddyC2Go هنوز بطور کامل مشخص نیست، این فایل اجرایی به یک اسکریپت PowerShell مجهز میباشد که به طور خودکار به سرور فرمان و کنترل Seedworm متصل میشود؛ در نتیجه امکان دسترسی از راه دور به سیستم قربانی را برای مهاجمان فراهم میآورد و دیگر نیازی به اجرای دستی توسط اپراتوها نخواهد بود.
جدیدترین مجموعه نفوذها که در نوامبر ۲۰۲۳ مشاهده شدند به SimpleHelp و Venom Proxy، در کنار یک کیلاگر سفارشی و سایر ابزارهای در دسترس عموم متکی میباشند. زنجیرههای حمله استفاده شده توسط این گروه دارای سابقه استفاده از ایمیلهای فیشینگ و آسیب پذیریهای شناخته شده به منظور ایجاد دسترسی اولیه و به دنبال آن انجام شناسایی، حرکت جانبی در شبکه و جمع آوری داده میباشند.
لانچر MuddyC2Go در حملات مستند شده توسط سیمانتک که یک سازمان مخابراتی ناشناس را مورد هدف قرار میدهد، برای برقراری ارتباط با یک سرور تحت کنترل توسط عامل تهدید اجرا میشود و در عین حال نرم افزارهای دسترسی از راه دور قانونی مانند AnyDesk و SimpleHelp را نیز مستقر میکند. این سازمان پیشتر در سال ۲۰۲۳ توسط مهاجم مورد نفوذ قرار گرفت که در آن از SimpleHelp جهت راه اندازی PowerShell، ارائه نرم افزار پروکسی و همچنین نصب ابزار دسترسی از راه دور JumpCloud استفاده شده است.
مهاجمان از چندین رویداد SimpleHelp برای اتصال به زیرساخت شناخته شده Seedworm استفاده کردهاند تا به یکی دیگر از شرکتهای مخابراتی و رسانهای حمله کنند. همچنین یک نسخه سفارشی ابزار هک Venom Proxy (ونوم پروکسی) و کیلاگر سفارشی جدید توسط مهاجمان طی این فعالیت، در شبکه اجرا شده است.
مهاجم با استفاده از ترکیب ابزارهای سفارشی، ابزارهای موجود در سیستم قربانی و در دسترس عموم در زنجیره حمله، به دنبال این هدف است که تا زمان ممکن برای دستیابی به اهداف استراتژیک خود از شناسایی اجتناب کند. این گروه در صورت لزوم به نوآوری و توسعه ابزارها ادامه میدهد تا فعالیتهای خود را مخفی نگه دارد. MuddyC2Go همچنین از ابزارها و اسکریپتهای مرتبط با PowerShell استفاده زیادی میکند و بر لزوم آگاهی سازمانها نسبت به استفاده مشکوک از PowerShell در شبکههای خود تأکید دارد.
این تحول در حالی صورت میپذیرد که یک گروه مرتبط با اسرائیل به نام Gonjeshke Darande (گنجشک دَرنده) مسئولیت یک حمله سایبری به پمپ بنزینهای سراسر ایران را برعهده گرفت که به گفته خودش این حمله در پاسخ به خشونت جمهوری اسلامی و همپیمانانش میباشد.
گروه گنجشک دَرنده که در اکتبر ۲۰۲۳ پس از نزدیک به یک سال انفعال دوباره فعالیت خود را از سر گرفت، گمان میرود که با اداره اطلاعات نظامی اسرائیل مرتبط میباشد و حملات مخربی از جمله حمله به تأسیسات فولاد، پمپ بنزینها و شبکههای خطوط راه آهن ریلی را تاکنون در ایران به انجام رسانده است.
این حمله سایبری به گفته مشاور اداره ملی سایبری اسرائیل (INCD) در پاسخ به حمله ناموفق ایران و حزب الله (طرفداران حماس) برای اخلال در بیمارستان زیو اسرائیل صورت گرفته است و این حمله به عوامل تهدیدی به نام آگریوس (Agrius) و سدر لبنانی (Lebanese Cedar) نسبت داده شده است. INCD نیز اذعان داشت، این حمله توسط وزارت اطلاعات ایران و با مشارکت یگانهای سایبری «سدر لبنانی» حزبالله به رهبری محمدعلی مِرحی انجام شده است.
