伊朗國家級行動者被觀察到使用一種以前未記錄的命令與控制（C2）框架，名為MuddyC2Go，作為針對以色列的攻擊的一部分。

Deep Instinct安全研究員Simon Kenin在周三發(fā)布的技術(shù)報告中表示：“該框架的Web組件是用Go編程語言編寫的?！痹摴ぞ弑粴w因于MuddyWater，這是一個與伊朗情報和安全部（MOIS）有關(guān)的伊朗國家級支持的黑客團隊。

這家網(wǎng)絡安全公司稱，該C2框架可能從2020年初開始被威脅行為者使用，最近的攻擊利用它代替了PhonyC2，這是MuddyWater的另一個自定義C2平臺，于2023年6月曝光并泄露了其源代碼。

多年來觀察到的典型攻擊序列包括發(fā)送帶有惡意軟件的壓縮文件或偽造鏈接的釣魚郵件，這些鏈接會導致合法遠程管理工具的部署。遠程管理軟件的安裝為傳遞其他有效載荷（包括PhonyC2）鋪平了道路。

MuddyWater的作案手法已經(jīng)得到改進，使用密碼保護的壓縮文件來規(guī)避電子郵件安全解決方案，并分發(fā)可執(zhí)行文件而不是遠程管理工具。

"這個可執(zhí)行文件包含一個嵌入的PowerShell腳本，它會自動連接到MuddyWater的C2，消除了操作員手動執(zhí)行的需要，" Kenin解釋道。

作為回報，MuddyC2Go服務器發(fā)送一個PowerShell腳本，每10秒運行一次，并等待操作員的進一步命令。盡管MuddyC2Go的全部功能尚不清楚，但它被懷疑是一個負責生成PowerShell有效載荷以進行后滲透活動的框架。

"如果不需要，我們建議禁用PowerShell，" Kenin說道。"如果啟用了PowerShell，我們建議密切監(jiān)控PowerShell的活動。"

消息來源：https://thehackernews.com/2023/11/muddyc2go-new-c2-framework-iranian.html