Cyberthreat.id – Hacker Iran diamati menggunakan kerangka komando dan kontrol (C2) yang sebelumnya tidak terdokumentasi yang disebut MuddyC2Go sebagai bagian dari serangan yang menargetkan Israel.

“Komponen web kerangka ini ditulis dalam bahasa pemrograman Go,” kata peneliti keamanan Deep Instinct, Simon Kenin, dalam laporan teknis yang diterbitkan Rabu dan dikutip The Hacker News.

Alat tersebut dikaitkan dengan MuddyWater, kru peretasan yang disponsori negara Iran dan berafiliasi dengan Kementerian Intelijen dan Keamanan (MOIS) negara tersebut.

Perusahaan keamanan siber tersebut mengatakan bahwa kerangka kerja C2 mungkin telah digunakan oleh pelaku ancaman sejak awal tahun 2020.

Disebutkan, serangan baru-baru ini yang memanfaatkannya sebagai pengganti PhonyC2, platform C2 khusus lainnya dari MuddyWater yang terungkap pada bulan Juni 2023 dan memiliki kode sumbernya.

Rangkaian serangan umum yang diamati selama bertahun-tahun melibatkan pengiriman email spear-phishing yang berisi arsip berisi malware atau tautan palsu yang mengarah pada penerapan alat administrasi jarak jauh yang sah.

Instalasi perangkat lunak administrasi jarak jauh membuka jalan bagi pengiriman muatan tambahan, termasuk PhonyC2.

Modus operandi MuddyWater telah mengalami perubahan, menggunakan arsip yang dilindungi kata sandi untuk menghindari solusi keamanan email dan mendistribusikan file yang dapat dieksekusi alih-alih alat administrasi jarak jauh.

“Eksekusi ini berisi skrip PowerShell tertanam yang secara otomatis terhubung ke C2 MuddyWater, sehingga menghilangkan kebutuhan eksekusi manual oleh operator,” jelas Kenin.

Server MuddyC2Go, sebagai imbalannya, mengirimkan skrip PowerShell, yang berjalan setiap 10 detik dan menunggu perintah lebih lanjut dari operator.

Meskipun keseluruhan fitur MuddyC2Go tidak diketahui, diduga ini merupakan kerangka kerja yang bertanggung jawab untuk menghasilkan muatan PowerShell untuk melakukan aktivitas pasca-eksploitasi.

“Kami menyarankan untuk menonaktifkan PowerShell jika tidak diperlukan,” kata Kenin.

"Jika diaktifkan, kami merekomendasikan pemantauan ketat terhadap aktivitas PowerShell."[]