有人观察到,伊朗黑客攻击组织在针对以色列的袭击中使用了一个以前没有记录的名为MuddyC2Go的指挥控制框架。安全研究员Simon Kenin在周三发布的一份技术报告中表示:“该框架的web组件是用Go编程语言编写的”。该工具被认为是伊朗情报与安全部下属的伊朗国家资助的黑客小组MuddyWater。
C2框架可能自2020年初以来就被攻击者使用,最近的攻击利用它来代替PhonyC2,PhonyC2是MuddyWater的另一个定制C2平台,于2023年6月曝光,其源代码被泄露。典型攻击手法包括发送带有恶意软件档案、发送鱼叉式网络钓鱼电子邮件,从而部署合法的远程管理工具。自那以后,MuddyWater的工作方式发生了变化,使用受密码保护的档案来逃避电子邮件安全检测,并分发可执行文件而不是远程管理工具。
Kenin解释道:“此可执行文件包含一个嵌入式PowerShell脚本,该脚本可自动连接到MuddyWater的C2,无需操作员手动执行”。MuddyC2Go服务器发送一个PowerShell脚本,该脚本每10秒运行一次,并等待操作员发出进一步的命令。虽然MuddyC2Go的全部功能尚不清楚,但它被怀疑是一个负责生成PowerShell有效负载以进行利用后渗透攻击的框架。
期待你的关注,定不负所望