MuddyC2Go: İranlı Hackerların İsrail'e Karşı Kullandığı Yeni C2 Çerçevesi
İranlı ulus devlet aktörlerinin, İsrail'i hedef alan saldırıların bir parçası olarak MuddyC2Go adlı daha önce belgelenmemiş bir komuta ve kontrol (C2) çerçevesi kullandığı gözlemlendi.
Deep Instinct güvenlik araştırmacısı Simon Kenin, Çarşamba günü yayınlanan teknik bir raporda, "Çerçevenin web bileşeni Go programlama dilinde yazılmıştır" dedi.
Araç, ülkenin İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlı İran devlet destekli bir bilgisayar korsanlığı ekibi olan MuddyWater'a atfedildi.
Siber güvenlik firması, C2 çerçevesinin 2020'nin başından beri tehdit aktörü tarafından kullanılmış olabileceğini ve son saldırıların Haziran 2023'te ortaya çıkan ve kaynak kodu sızdırılan MuddyWater'ın başka bir özel C2 platformu olan PhonyC2 yerine kullanıldığını söyledi.
Yıllar boyunca gözlemlenen tipik saldırı dizileri, meşru uzaktan yönetim araçlarının konuşlandırılmasına yol açan kötü amaçlı yazılım yüklü arşivler veya sahte bağlantılar içeren hedef odaklı kimlik avı e-postaları göndermeyi içeriyordu.
Uzaktan yönetim yazılımının yüklenmesi, PhonyC2 de dahil olmak üzere ek yüklerin teslim edilmesinin önünü açar.
MuddyWater'ın çalışma şekli, o zamandan beri, e-posta güvenlik çözümlerinden kaçınmak için parola korumalı arşivler kullanarak ve uzaktan yönetim aracı yerine bir yürütülebilir dosya dağıtarak bir makyaj aldı.
Kenin, "Bu yürütülebilir dosya, MuddyWater'ın C2'sine otomatik olarak bağlanan ve operatör tarafından manuel yürütme ihtiyacını ortadan kaldıran yerleşik bir PowerShell komut dosyası içeriyor" dedi.
MuddyC2Go sunucusu ise her 10 saniyede bir çalışan ve operatörden daha fazla komut bekleyen bir PowerShell komut dosyası gönderir.
MuddyC2Go'nun özelliklerinin tam kapsamı bilinmemekle birlikte, istismar sonrası etkinlikleri yürütmek için PowerShell yükleri oluşturmaktan sorumlu bir çerçeve olduğundan şüpheleniliyor.
Kenin, "Gerekmiyorsa PowerShell'i devre dışı bırakmanızı öneririz" dedi. "Etkinleştirilirse, PowerShell etkinliğinin yakından izlenmesini öneririz."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı