- MuddyWater, nhóm tấn công mạng được cho là đang sử dụng một framework C2 chưa từng được phát hiện trước đây có tên là PhonyC2, công cụ đã được nhóm này sử dụng từ năm 2021.
Bằng chứng cho thấy framework này được tạo riêng và đang trong giai đoạn phát triển tích cực. Vào tháng 02/2023, nhóm MuddyWater đã sử dụng Framework PhonyC2 trong chiến dịch tấn công nhằm vào Technion, một viện nghiên cứu tại Israel.
Ngoài ra, một số bằng chứng bổ sung cũng chỉ ra rằng chương trình chạy trên Python 3 có liên quan đến các cuộc tấn công khác của nhóm MuddyWater, bao gồm cả việc liên tục khai thác các máy chủ PaperCut.
Các nhà nghiên cứu bảo mật cho rằng Framework PhonyC2 có cấu trúc và chức năng tương tự với MuddyC3, trong khi framework C2 cũ của nhóm MuddyWater sử dụng Python2. Hiện nay, Framework PhonyC2 đang được cập nhật và thay đổi TTP để tránh bị phát hiện.
Nhóm MuddyWater thực hiện chuỗi tấn công tương tự như các bộ công cụ của Iran-nexus, bằng cách sử dụng các máy chủ công khai dễ bị tấn công và kỹ thuật tấn công xâm nhập thông qua social engineering để tiếp cận mục tiêu.
Framework PhonyC2 được phát hiện vào tháng 4 năm 2023 trên các máy chủ hạ tầng được sử dụng bởi MuddyWater trong cuộc tấn công nhắm vào Technion. Máy chủ này sau đó được xác định là đang lưu trữ một công cụ có tên Ligolo và đang được nhóm tấn công sử dụng.
Sự liên kết với Technion vẫn còn tồn tại trong các vết tích trên hệ thống với hai tập tin "C:\programdata\db.sqlite" và "C:\programdata\db.ps1", cả hai đều được Microsoft mô tả là backdoor PowerShell mà MuddyWater đang sử dụng và được tạo bởi framework PhonyC2 nhằm mục đích thực thi trên thiết bị nhiễm mã độc.
PhonyC2 được mô tả là một framework được sử dụng để tạo các loại payload có khả năng kết nối với máy chủ C&C và chờ lệnh để thực hiện các bước cuối cùng trong chuỗi tấn công xâm nhập (intrusion kill chain).
Một số câu lệnh đáng chú ý trong framework gồm:
• Payload: Tạo ra payload "C:\programdata\db.sqlite" và "C:\programdata\db.ps1” cũng như là lệnh PowerShell để thực thi db.ps1 có nhiệm vụ thực thi db.sqlite
• Droper: Tạo một biến thể của câu lệnh PowerShell để tạo “C:\programdata\db.sqlite” bằng cách kết nối tới máy chủ C&C và ghi nội dung được mã hóa gửi về từ máy chủ vào file.
• Execute: Tạo một biến thể của câu lệnh PowerShell để tạo "C:\programdata\db.ps1” - một đoạn script chứa logic để giải mã db.sqlite – và là giai đoạn cuối cùng
• List: Liệt kê toàn bộ thiết bị đang kết nối tới máy chủ C&C
• Setcommandforall: Thực thi câu lệnh giống nhau trên tất cả thiết bị đang kết nối tới máy chủ cùng một lúc.
• Use: Tạo một PowerShell shell trên thiết bị từ xa để thực thi nhiều lệnh hơn
• Persist: Tạo một đoạn mã PowerShell cho phép đối tượng tấn công có khả năng duy trì kết nối trên thiết bị nhiễm mã độc, qua đó tự động kết nối thiết bị tới máy chủ mỗi khi khởi động lại.
MuddyWater không phải là nhóm tấn công duy nhất của Iran thực hiện các chiến dịch nhằm vào Israel. Trong những tháng gần đây, đã có nhiều nhóm tấn công khác nhau như Charming Kitten (APT35), Imperial Kitten (Tortoiseshell) và Agrius (Pink Sandstorm) nhắm vào nhiều đối tượng mục tiêu tại Israel.
Các chuyên gia bảo mật cho rằng framework C2 như PhonyC2 đóng vai trò quan trọng trong việc cho phép nhóm tấn công ẩn danh và thu thập dữ liệu từ các nạn nhân, đồng thời chỉ ra PhonyC2 không phải là framework C2 tự chế đầu tiên cũng như là cuối cùng được MuddyWater sử dụng trong các chiến dịch tấn công nghiêm trọng.
PV