Новое кибероружие MuddyC2Go использовалось в последних атаках, сообщает эксперт по кибербезопасности
Эксперт по кибербезопасности Саймон Кенин из компании Deep Instinct в техническом отчете от 8 ноября сообщил о появлении новой системы управления и контроля (C2) под названием MuddyC2Go, используемой иранскими хакерами для кибератак. MuddyC2Go, ранее не идентифицированный веб-компонент, разработан на языке программирования Go.
В отчете указывается, что хакерская группа MuddyWater работает с этой системой C2 с начала 2020 года, перейдя от своего более раннего инструмента PhonyC2. Примечательно, что исходный код PhonyC2 был выложен в открытый доступ только в июне 2023 года.
Группа MuddyWater, известная своей тактикой фишинга с использованием писем со ссылками и вложениями, содержащими вредоносное ПО, недавно изменила свой подход. Для проникновения в систему используются защищенные паролем архивы, которые пропускают сканеры электронной почты. При открытии архива в систему попадает вредоносная программа в сочетании со сценарием PowerShell, который устанавливает соединение с MuddyC2Go. Этот метод отличается от предыдущего, когда использовались базовые средства удаленного администрирования, что увеличивало продолжительность атак.
Полностью возможности MuddyC2Go пока не определены. Однако предполагается, что он может быть использован для создания вредоносных сценариев PowerShell для последующих операций взлома.
В свете этих выводов Кенин советует системным администраторам либо отключать PowerShell на контролируемых системах, когда она не используется, либо осуществлять строгий мониторинг ее работы, если отключение невозможно. Данная рекомендация является мерой предосторожности от потенциальных рисков, связанных с MuddyC2Go и подобными киберугрозами.
Какие бывают хакеры: