关键词
网络安全
观察到伊朗民族国家行为者使用了一个以前没有记录的指挥和控制(C2)框架,称为MuddyC2Go,作为针对以色列的攻击的一部分。
Deep Instinct安全研究员Simon Kenin在周三发布的一份技术报告中表示:“该框架的Web组件是用围棋程序设计语言编写的。”
该工具被认为是由伊朗国家资助的黑客团队MuddyWater开发的,该团队隶属于伊朗情报和安全部(MOIS)。
该网络安全公司表示,C2框架可能自2020年初以来已被威胁者使用,最近的攻击利用它代替了PhonyC2,PhonyC2是MuddyWater的另一个自定义C2平台,于2023年6月曝光,其源代码泄露。
多年来观察到的典型攻击序列涉及发送带有恶意软件的档案或虚假链接的鱼叉式网络钓鱼电子邮件,导致合法远程管理工具的部署。
远程管理软件的安装为交付额外的有效载荷(包括PhonyC2)铺平了道路。
MuddyWater的作案手法已经改头换面,使用密码保护的档案来逃避电子邮件安全解决方案,并分发可执行文件,而不是远程管理工具。
Kenin解释说:"该可执行文件包含一个嵌入式PowerShell脚本,可自动连接到MuddyWater的C2,无需操作员手动执行。
MuddyC2Go服务器返回一个PowerShell脚本,该脚本每10秒运行一次,并等待操作员的进一步命令。
虽然MuddyC2Go功能的完整范围尚不清楚,但它被怀疑是一个负责生成PowerShell有效载荷的框架,以便进行开发后活动。
“我们建议禁用PowerShell,如果它是不需要的,”Kenin说。"如果启用了它,我们建议您密切监视PowerShell活动。"
END
阅读推荐
【安全圈】双十一当晚“淘宝崩了”登上热搜,网友反馈出现卡顿、无法购买或加购等情况
【安全圈】知名安全厂商发生数据泄露,客户连夜更换 API 密钥
【安全圈】又是网络攻击!澳大利亚第二大港口运营商大面积服务中断
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
原文始发于微信公众号(安全圈):【安全圈】一款新的C2框架MuddyC2Go,正被黑客运行利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论