İran ulus-devlet aktörleri, daha önce belgelenmemiş bir komuta ve kontrol (C2) çerçevesi kullanılarak gözlemlendi. ÇamurluC2Go İsrail’e yönelik saldırıların bir parçası olarak.
Deep Instinct güvenlik araştırmacısı Simon Kenin Çarşamba günü yayınlanan teknik bir raporda “Çerçevenin web bileşeni Go programlama dilinde yazılmıştır” dedi.
Aracın, ülkenin İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı, İran devleti destekli bir hack ekibi olan MuddyWater’a atfedildiği belirtiliyor.
Siber güvenlik firması, C2 çerçevesinin tehdit aktörleri tarafından 2020’nin başlarından bu yana kullanılmış olabileceğini ve son saldırılarda MuddyWater’ın Haziran 2023’te ortaya çıkan ve kaynak koduna sahip başka bir özel C2 platformu olan PhonyC2’nin yerine bu çerçeveyi kullandığını söyledi. sızdırıldı.
Yıllar boyunca gözlemlenen tipik saldırı dizileri, kötü amaçlı yazılım içeren arşivler veya yasal uzaktan yönetim araçlarının konuşlandırılmasına yol açan sahte bağlantılar içeren hedef odaklı kimlik avı e-postalarının gönderilmesini içeriyordu.
Uzaktan yönetim yazılımının kurulumu, PhonyC2 de dahil olmak üzere ek yüklerin tesliminin önünü açar.
MuddyWater’ın işleyiş biçimi, o zamandan bu yana, e-posta güvenlik çözümlerinden kaçınmak için şifre korumalı arşivler kullanan ve uzaktan yönetim aracı yerine yürütülebilir bir dosya dağıtan bir yenileme aldı.
Kenin, “Bu yürütülebilir dosya, MuddyWater’ın C2’sine otomatik olarak bağlanan ve operatörün manuel yürütme ihtiyacını ortadan kaldıran gömülü bir PowerShell betiği içeriyor” diye açıkladı.
Buna karşılık MuddyC2Go sunucusu, her 10 saniyede bir çalışan ve operatörden gelecek komutları bekleyen bir PowerShell betiği gönderir.
MuddyC2Go’nun özelliklerinin tam kapsamı bilinmemekle birlikte, kullanım sonrası faaliyetleri yürütmek için PowerShell yüklerini oluşturmaktan sorumlu bir çerçeve olduğundan şüpheleniliyor.
Kenin, “Gerekmiyorsa PowerShell’i devre dışı bırakmanızı öneririz” dedi. “Etkinleştirilirse PowerShell etkinliğinin yakından izlenmesini öneririz.”