伊朗国家级行动者被观察到使用一种以前未记录的伊朗用命令与控制（C2）框架，名为MuddyC2Go ，黑客作为针对以色列的对色攻击的一部分 。

Deep Instinct安全研究员Simon Kenin在周三发布的列使技术报告中表示：“该框架的Web组件是用Go编程语言编写的。源码下载”该工具被归因于MuddyWater，框架这是伊朗用一个与伊朗情报和安全部（MOIS）有关的伊朗国家级支持的黑客团队。

这家网络安全公司称，黑客该C2框架可能从2020年初开始被威胁行为者使用 ，对色最近的列使攻击利用它代替了PhonyC2，这是高防服务器框架MuddyWater的另一个自定义C2平台，于2023年6月曝光并泄露了其源代码 。伊朗用

多年来观察到的黑客典型攻击序列包括发送带有恶意软件的压缩文件或伪造链接的钓鱼邮件，这些链接会导致合法远程管理工具的对色部署
。远程管理软件的免费模板列使安装为传递其他有效载荷（包括PhonyC2）铺平了道路。

MuddyWater的框架作案手法已经得到改进，使用密码保护的压缩文件来规避电子邮件安全解决方案 ，并分发可执行文件而不是远程管理工具。

"这个可执行文件包含一个嵌入的PowerShell脚本，它会自动连接到MuddyWater的服务器租用C2 ，消除了操作员手动执行的需要 ，" Kenin解释道
。

作为回报 ，MuddyC2Go服务器发送一个PowerShell脚本 ，每10秒运行一次 ，并等待操作员的进一步命令。尽管MuddyC2Go的云计算全部功能尚不清楚 ，但它被怀疑是一个负责生成PowerShell有效载荷以进行后渗透活动的框架 。

"如果不需要，我们建议禁用PowerShell，" Kenin说道
。"如果启用了PowerShell，我们建议密切监控PowerShell的活动。亿华云"

消息来源 ：https://thehackernews.com/2023/11/muddyc2go-new-c2-framework-iranian.html