MuddyC2Go: İranlı Hackerların İsrail'e Karşı Kullandığı Yeni C2 Çerçevesi

Deep Instinct güvenlik araştırmacısı Simon Kenin, Çarşamba günü yayınlanan teknik bir raporda, "Çerçevenin web bileşeni Go programlama dilinde yazılmıştır" dedi.

Araç, ülkenin İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlı İran devlet destekli bir bilgisayar korsanlığı ekibi olan MuddyWater'a atfedildi.

Siber güvenlik firması, C2 çerçevesinin 2020'nin başından beri tehdit aktörü tarafından kullanılmış olabileceğini ve son saldırıların Haziran 2023'te ortaya çıkan ve kaynak kodu sızdırılan MuddyWater'ın başka bir özel C2 platformu olan PhonyC2 yerine kullanıldığını söyledi.

Yıllar boyunca gözlemlenen tipik saldırı dizileri, meşru uzaktan yönetim araçlarının konuşlandırılmasına yol açan kötü amaçlı yazılım yüklü arşivler veya sahte bağlantılar içeren hedef odaklı kimlik avı e-postaları göndermeyi içeriyordu.

Uzaktan yönetim yazılımının yüklenmesi, PhonyC2 de dahil olmak üzere ek yüklerin teslim edilmesinin önünü açar.

MuddyWater'ın çalışma şekli, o zamandan beri, e-posta güvenlik çözümlerinden kaçınmak için parola korumalı arşivler kullanarak ve uzaktan yönetim aracı yerine bir yürütülebilir dosya dağıtarak bir makyaj aldı.

Kenin, "Bu yürütülebilir dosya, MuddyWater'ın C2'sine otomatik olarak bağlanan ve operatör tarafından manuel yürütme ihtiyacını ortadan kaldıran yerleşik bir PowerShell komut dosyası içeriyor" dedi.

MuddyC2Go sunucusu ise her 10 saniyede bir çalışan ve operatörden daha fazla komut bekleyen bir PowerShell komut dosyası gönderir.

MuddyC2Go'nun özelliklerinin tam kapsamı bilinmemekle birlikte, istismar sonrası etkinlikleri yürütmek için PowerShell yükleri oluşturmaktan sorumlu bir çerçeve olduğundan şüpheleniliyor.

Kenin, "Gerekmiyorsa PowerShell'i devre dışı bırakmanızı öneririz" dedi. "Etkinleştirilirse, PowerShell etkinliğinin yakından izlenmesini öneririz."

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği