MuddyWater, un grupo de amenazas informáticas afiliado al Ministerio de Inteligencia y Seguridad de Irán, ha sido vinculado a una nueva infraestructura de comando y control (C2) llamada DarkBeatC2. Esto se conoce después de que el grupo ya utilizara herramientas similares como SimpleHarm, MuddyC3, PhonyC2 y MuddyC2Go. Según Simon Kenin, un investigador de seguridad de Deep Instinct, aunque MuddyWater cambia de herramienta de administración remota, sus métodos siguen siendo constantes. El grupo ha estado activo desde al menos 2017 y se sabe que orquesta ataques spear-phishing que llevan a la implementación de soluciones legítimas de monitoreo y administración remota en sistemas comprometidos.
Los ataques de MuddyWater confían en una serie de dominios y direcciones IP denominados colectivamente DarkBeatC2, los cuales administran los endpoints infectados mediante código PowerShell diseñado para establecer contacto con el servidor C2. El grupo también utiliza la función AutodialDLL del Registro de Windows para la carga lateral de una DLL maliciosa.
La firma de ciberseguridad Palo Alto Networks Unit 42 informó que MuddyWater abusa de la función AutodialDLL para establecer conexiones con un dominio DarkBeatC2. Una tarea programada luego se ejecuta con PowerShell para aprovechar la clave de registro AutodialDLL. También se ha observado que el grupo utiliza payloads de primera etapa entregados a través del correo electrónico de spear-phishing y la explotación de la carga lateral de la DLL para ejecutar una biblioteca maliciosa.
La revelación de DarkBeatC2 se produce después de que Unit 42 desempaquetó FalseFont, una puerta trasera utilizada por el grupo de amenazas informáticas iraní Peach Sandstorm, que se dirige a los sectores aeroespacial y de defensa. FalseFont se instala mediante un proceso falso de contratación de trabajo que engaña a las víctimas para que instalen la puerta trasera. Una vez instalado, el implante presenta una interfaz de inicio de sesión que suplanta a una empresa aeroespacial y captura las credenciales.
En resumen, MuddyWater ha sido atribuido a la nueva infraestructura de comando y control llamada DarkBeatC2. Este grupo utiliza correos electrónicos spear-phishing y carga lateral de una DLL para establecer una conexión C2. En tanto, la técnica utilizada por Peach Sandstorm implica la suplantación de una empresa aeroespacial a través de una puerta trasera llamada FalseFont.
Vía The Hacker News
