伊朗國(guó)家級(jí)行動(dòng)者被觀察到使用一種以前未記錄的命令與控制（C2）框架，名為MuddyC2Go，作為針對(duì)以色列的攻擊的一部分。

Deep Instinct安全研究員Simon Kenin在周三發(fā)布的技術(shù)報(bào)告中表示：“該框架的Web組件是用Go編程語(yǔ)言編寫(xiě)的。”該工具被歸因于MuddyWater，這是一個(gè)與伊朗情報(bào)和安全部（MOIS）有關(guān)的伊朗國(guó)家級(jí)支持的黑客團(tuán)隊(duì)。

這家網(wǎng)絡(luò)安全公司稱(chēng)，該C2框架可能從2020年初開(kāi)始被威脅行為者使用，最近的攻擊利用它代替了PhonyC2，這是MuddyWater的另一個(gè)自定義C2平臺(tái)，于2023年6月曝光并泄露了其源代碼。

多年來(lái)觀察到的典型攻擊序列包括發(fā)送帶有惡意軟件的壓縮文件或偽造鏈接的釣魚(yú)郵件，這些鏈接會(huì)導(dǎo)致合法遠(yuǎn)程管理工具的部署。遠(yuǎn)程管理軟件的安裝為傳遞其他有效載荷（包括PhonyC2）鋪平了道路。

MuddyWater的作案手法已經(jīng)得到改進(jìn)，使用密碼保護(hù)的壓縮文件來(lái)規(guī)避電子郵件安全解決方案，并分發(fā)可執(zhí)行文件而不是遠(yuǎn)程管理工具。

"這個(gè)可執(zhí)行文件包含一個(gè)嵌入的PowerShell腳本，它會(huì)自動(dòng)連接到MuddyWater的C2，消除了操作員手動(dòng)執(zhí)行的需要，" Kenin解釋道。

作為回報(bào)，MuddyC2Go服務(wù)器發(fā)送一個(gè)PowerShell腳本，每10秒運(yùn)行一次，并等待操作員的進(jìn)一步命令。盡管MuddyC2Go的全部功能尚不清楚，但它被懷疑是一個(gè)負(fù)責(zé)生成PowerShell有效載荷以進(jìn)行后滲透活動(dòng)的框架。

"如果不需要，我們建議禁用PowerShell，" Kenin說(shuō)道。"如果啟用了PowerShell，我們建議密切監(jiān)控PowerShell的活動(dòng)。"

消息來(lái)源：https://thehackernews.com/2023/11/muddyc2go-new-c2-framework-iranian.html