伊朗国家级行动者被观察到使用一种以前未记录的命令与控制(C2)框架,名为MuddyC2Go,作为针对以色列的攻击的一部分。
Deep Instinct安全研究员Simon Kenin在周三发布的技术报告中表示:“该框架的Web组件是用Go编程语言编写的。”该工具被归因于MuddyWater,这是一个与伊朗情报和安全部(MOIS)有关的伊朗国家级支持的黑客团队。
这家网络安全公司称,该C2框架可能从2020年初开始被威胁行为者使用,最近的攻击利用它代替了PhonyC2,这是MuddyWater的另一个自定义C2平台,于2023年6月曝光并泄露了其源代码。
多年来观察到的典型攻击序列包括发送带有恶意软件的压缩文件或伪造链接的钓鱼邮件,这些链接会导致合法远程管理工具的部署。远程管理软件的安装为传递其他有效载荷(包括PhonyC2)铺平了道路。
MuddyWater的作案手法已经得到改进,使用密码保护的压缩文件来规避电子邮件安全解决方案,并分发可执行文件而不是远程管理工具。
"这个可执行文件包含一个嵌入的PowerShell脚本,它会自动连接到MuddyWater的C2,消除了操作员手动执行的需要," Kenin解释道。
作为回报,MuddyC2Go服务器发送一个PowerShell脚本,每10秒运行一次,并等待操作员的进一步命令。尽管MuddyC2Go的全部功能尚不清楚,但它被怀疑是一个负责生成PowerShell有效载荷以进行后渗透活动的框架。
"如果不需要,我们建议禁用PowerShell," Kenin说道。"如果启用了PowerShell,我们建议密切监控PowerShell的活动。"
消息来源:https://thehackernews.com/2023/11/muddyc2go-new-c2-framework-iranian.html