وقد لوحظ أن الجهات الفاعلة في الدولة القومية الإيرانية تستخدم إطار عمل غير موثق سابقًا للقيادة والسيطرة (C2) يسمى MuddyC2Go كجزء من الهجمات التي تستهدف الكيان الصهيوني الإسرائيل .
وقال سيمون كينين، الباحث الأمني في شركة Deep Instinct، في تقرير فني نُشر يوم الأربعاء : "مكون الويب الخاص بإطار العمل مكتوب بلغة برمجة Go" .
نُسبت هذه الأداة إلى MuddyWater ، وهو طاقم قرصنة إيراني ترعاه الدولة ويتبع وزارة الاستخبارات والأمن في البلاد.
قالت شركة الأمن السيبراني إن إطار عمل C2 ربما تم استخدامه من قبل جهة التهديد منذ أوائل عام 2020، حيث استفادته الهجمات الأخيرة بدلاً من PhonyC2، وهي منصة C2 مخصصة أخرى من MuddyWater ظهرت إلى النور في يونيو 2023 ولديها كود المصدر الخاص بها. تسربت.
تضمنت تسلسلات الهجمات النموذجية التي تمت ملاحظتها على مر السنين إرسال رسائل بريد إلكتروني للتصيد الاحتيالي تحتوي على أرشيفات بها برامج ضارة أو روابط زائفة تؤدي إلى نشر أدوات شرعية للإدارة عن بعد.
يمهد تثبيت برنامج الإدارة عن بعد الطريق لتسليم حمولات إضافية، بما في ذلك PhonyC2.
وقد تلقت طريقة عمل MuddyWater منذ ذلك الحين عملية تجميل، وذلك باستخدام الأرشيفات المحمية بكلمة مرور للتهرب من حلول أمان البريد الإلكتروني وتوزيع ملف قابل للتنفيذ بدلاً من أداة الإدارة عن بعد.
وأوضح كينين: "يحتوي هذا الملف القابل للتنفيذ على برنامج PowerShell النصي المضمن الذي يتصل تلقائيًا بـ MuddyWater's C2، مما يلغي الحاجة إلى التنفيذ اليدوي من قبل المشغل".
وفي المقابل، يرسل خادم MuddyC2Go برنامج PowerShell النصي، الذي يعمل كل 10 ثوانٍ وينتظر المزيد من الأوامر من المشغل.
على الرغم من أن النطاق الكامل لميزات MuddyC2Go غير معروف، إلا أنه يشتبه في أنه إطار عمل مسؤول عن إنشاء حمولات PowerShell من أجل إجراء أنشطة ما بعد الاستغلال.
وقال كينين: "نوصي بتعطيل PowerShell إذا لم تكن هناك حاجة إليه". "إذا تم تمكينه، فإننا نوصي بمراقبة نشاط PowerShell عن كثب."
