İran ulus-devlet aktörleri, daha önce belgelenmemiş bir komuta ve kontrol (C2) çerçevesi kullanılarak gözlemlendi. ÇamurluC2Go İsrail’e yönelik saldırıların bir parçası olarak.
Deep Instinct güvenlik araştırmacısı Simon Kenin, “Çerçevenin web bileşeni Go programlama dilinde yazılmıştır” söz konusu Çarşamba günü yayınlanan teknik bir raporda.
Araç şuna atfedilmiştir: Çamurlu suBİR İran devlet destekli hacklemek mürettebat ülkenin İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı.
Siber güvenlik firması, C2 çerçevesinin tehdit aktörü tarafından 2020’nin başlarından bu yana kullanılmış olabileceğini ve son saldırılarda MuddyWater’ın Haziran 2023’te ortaya çıkan ve kaynak koduna sahip başka bir özel C2 platformu olan PhonyC2’nin yerine bu çerçeveyi kullandığını söyledi. sızdırıldı.
Yıllar boyunca gözlemlenen tipik saldırı dizileri, kötü amaçlı yazılım içeren arşivler veya meşru uzaktan yönetim araçlarının konuşlandırılmasına yol açan sahte bağlantılar içeren hedef odaklı kimlik avı e-postalarının gönderilmesini içeriyordu.
Uzaktan yönetim yazılımının kurulumu, PhonyC2 de dahil olmak üzere ek yüklerin tesliminin önünü açar.
MuddyWater’ın işleyiş tarzı, e-posta güvenlik çözümlerinden kaçınmak için şifre korumalı arşivler kullanarak ve uzaktan yönetim aracı yerine yürütülebilir bir dosya dağıtarak, bir yenileme aldı.
Kenin, “Bu yürütülebilir dosya, MuddyWater’ın C2’sine otomatik olarak bağlanan ve operatörün manuel yürütme ihtiyacını ortadan kaldıran gömülü bir PowerShell betiği içeriyor” diye açıkladı.
Buna karşılık MuddyC2Go sunucusu, her 10 saniyede bir çalışan ve operatörden gelecek komutları bekleyen bir PowerShell betiği gönderir.
MuddyC2Go’nun özelliklerinin tam kapsamı bilinmemekle birlikte, kullanım sonrası faaliyetleri yürütmek için PowerShell yüklerini oluşturmaktan sorumlu bir çerçeve olduğundan şüpheleniliyor.
Kenin, “Gerekmiyorsa PowerShell’i devre dışı bırakmanızı öneririz” dedi. “Etkinleştirilirse PowerShell etkinliğinin yakından izlenmesini öneririz.”
