Se ha observado que los actores del Estado-nación iraníes utilizan un marco de comando y control (C2) previamente indocumentado llamado MuddyC2Go como parte de ataques contra Israel.
«El componente web del marco está escrito en el lenguaje de programación Go», dijo el investigador de seguridad de Deep Instinct, Simon Kenin. dicho en un informe técnico publicado el miércoles.
La herramienta ha sido atribuida a FangosoAguaun iraní patrocinado por el estado hackear multitud que está afiliado al Ministerio de Inteligencia y Seguridad del país (MOIS).
La firma de ciberseguridad dijo que el actor de amenazas pudo haber utilizado el marco C2 desde principios de 2020, y que ataques recientes lo aprovecharon en lugar de PhonyC2, otra plataforma C2 personalizada de MuddyWater que salió a la luz en junio de 2023 y tiene su código fuente. filtrado.
Las secuencias de ataque típicas observadas a lo largo de los años han implicado el envío de correos electrónicos de phishing con archivos con malware o enlaces falsos que conducen a la implementación de herramientas legítimas de administración remota.
La instalación del software de administración remota allana el camino para la entrega de cargas útiles adicionales, incluido PhonyC2.
Desde entonces, el modus operandi de MuddyWater ha recibido un lavado de cara, utilizando archivos protegidos con contraseña para evadir las soluciones de seguridad del correo electrónico y distribuyendo un ejecutable en lugar de una herramienta de administración remota.
«Este ejecutable contiene un script de PowerShell integrado que se conecta automáticamente al C2 de MuddyWater, eliminando la necesidad de ejecución manual por parte del operador», explicó Kenin.
El servidor MuddyC2Go, a cambio, envía un script de PowerShell, que se ejecuta cada 10 segundos y espera más comandos del operador.
Si bien se desconoce el alcance total de las características de MuddyC2Go, se sospecha que es un marco responsable de generar cargas útiles de PowerShell para llevar a cabo actividades posteriores a la explotación.
«Recomendamos desactivar PowerShell si no es necesario», dijo Kenin. «Si está habilitado, recomendamos monitorear de cerca la actividad de PowerShell».