MuddyC2Go:伊朗黑客对以色列使用的新C2框架

安全
伊朗国家级行动者被观察到使用一种以前未记录的命令与控制(C2)框架,名为MuddyC2Go,作为针对以色列的攻击的一部分。

伊朗国家级行动者被观察到使用一种以前未记录的命令与控制(C2)框架,名为MuddyC2Go,作为针对以色列的攻击的一部分。

Deep Instinct安全研究员Simon Kenin在周三发布的技术报告中表示:“该框架的Web组件是用Go编程语言编写的。”该工具被归因于MuddyWater,这是一个与伊朗情报和安全部(MOIS)有关的伊朗国家级支持的黑客团队。

这家网络安全公司称,该C2框架可能从2020年初开始被威胁行为者使用,最近的攻击利用它代替了PhonyC2,这是MuddyWater的另一个自定义C2平台,于2023年6月曝光并泄露了其源代码。

多年来观察到的典型攻击序列包括发送带有恶意软件的压缩文件或伪造链接的钓鱼邮件,这些链接会导致合法远程管理工具的部署。远程管理软件的安装为传递其他有效载荷(包括PhonyC2)铺平了道路。

MuddyWater的作案手法已经得到改进,使用密码保护的压缩文件来规避电子邮件安全解决方案,并分发可执行文件而不是远程管理工具。

"这个可执行文件包含一个嵌入的PowerShell脚本,它会自动连接到MuddyWater的C2,消除了操作员手动执行的需要," Kenin解释道。

作为回报,MuddyC2Go服务器发送一个PowerShell脚本,每10秒运行一次,并等待操作员的进一步命令。尽管MuddyC2Go的全部功能尚不清楚,但它被怀疑是一个负责生成PowerShell有效载荷以进行后渗透活动的框架。

"如果不需要,我们建议禁用PowerShell," Kenin说道。"如果启用了PowerShell,我们建议密切监控PowerShell的活动。"

消息来源:https://thehackernews.com/2023/11/muddyc2go-new-c2-framework-iranian.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2024-05-23 15:13:06

2023-02-08 15:52:55

2020-12-08 18:35:56

黑客攻击网络安全

2020-12-22 10:50:01

黑客勒索软件攻击

2023-11-13 16:29:07

2024-01-15 12:37:13

2020-11-16 17:51:01

伊朗黑客pay2key

2020-08-14 16:36:13

网络安全黑客技术

2021-09-23 14:43:05

普渡机器人人工智能

2024-01-18 17:43:47

2024-11-14 15:00:13

2021-07-18 07:50:26

Facebook黑客恶意软件

2023-09-08 15:20:30

2009-09-17 12:59:50

NIS系统安全

2021-08-19 15:43:39

供应链攻击黑客网络攻击

2021-06-15 06:18:55

黑客组织Shield Iran网络安全

2022-09-05 08:55:15

Go2提案语法

2022-09-12 13:52:03

微软Windows系统

2020-05-21 22:26:44

网络攻击恶意软件网络安全

2020-09-17 14:57:39

CISA黑客漏洞
点赞
收藏

51CTO技术栈公众号