MuddyC2Go: İranlı Hackerların İsrail’e Karşı Kullandığı Yeni Teknik Ortaya Çıktı
İran ulus devleti aktörlerinin, İsrail’i hedef alan saldırıların bir parçası olarak MuddyC2Go adlı daha önce belgelenmemiş bir komuta kontrol (C2) çerçevesi kullandıkları gözlemlendi. İranlı Hackerların İsrail’e Karşı yeni siber tehditler geliştirmeye devam ediyor.
Deep Instinct güvenlik araştırmacısı Simon Kenin Çarşamba günü yayınlanan teknik bir raporda, “Çerçevenin web bileşeni Go programlama dilinde yazılmıştır” dedi.
Araç, ülkenin İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı İran devlet destekli bir hacker ekibi olan Muddy Water’a atfedildi.
Siber güvenlik firması, C2 çerçevesinin tehdit aktörü tarafından 2020’nin başından beri kullanılabileceğini ve son saldırıların Haziran 2023’te ortaya çıkan ve kaynak kodunu sızdıran Muddywater’dan başka bir özel C2 platformu olan phonyc2’nin yerine bundan yararlanabileceğini söyledi.
İlginizi çekebilecek yazımız: Hackthebox Soccer Makine Çözümü
Yıllar içinde gözlemlenen tipik saldırı dizileri, kötü amaçlı yazılımlarla bağlanmış arşivler veya meşru uzaktan yönetim araçlarının kullanılmasına yol açan sahte bağlantılar içeren mızrak avı e-postaları göndermeyi içeriyordu.
Uzaktan yönetim yazılımının yüklenmesi, PhonyC2 de dahil olmak üzere ek yüklerin teslim edilmesinin önünü açar.
Muddywater’ın işleyiş biçimi o zamandan beri, e-posta güvenlik çözümlerinden kaçınmak için parola korumalı arşivleri kullanan ve uzaktan yönetim aracı yerine bir yürütülebilir dosya dağıtan bir makyaj aldı.
Kenin, “Bu yürütülebilir dosya, muddywater’ın C2’sine otomatik olarak bağlanan ve operatör tarafından manuel yürütme ihtiyacını ortadan kaldıran gömülü bir PowerShell komut dosyası içeriyor” dedi.
MuddyC2Go sunucusu ise her 10 saniyede bir çalışan ve operatörden başka komutlar bekleyen bir PowerShell komut dosyası gönderir.
Muddyc2go’nun özelliklerinin tam kapsamı bilinmemekle birlikte, sömürü sonrası faaliyetleri yürütmek için PowerShell yükleri oluşturmaktan sorumlu bir çerçeve olduğundan şüpheleniliyor.
Kenin, “Gerekli değilse Powershell’i devre dışı bırakmanızı öneririz” dedi. “Etkinleştirilmişse, PowerShell etkinliğinin yakından izlenmesini öneririz.”
Haber Kaynağı: The Hacker News