伊朗黑客利用 MuddyC2Go 在非洲各地实施电信间谍攻击

的伊朗民族国家组织 名为MuddyWater 利用新发现的名为 MuddyC2Go 的命令与控制 (C2) 框架来攻击埃及、苏丹和坦桑尼亚的电信部门。

Broadcom 旗下的赛门铁克威胁猎手团队正在 跟踪 以 Seedworm 名义跟踪该活动，该活动还以 Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm（以前称为 Mercury）、Static Kitten、TEMP.Zagros 等绰号进行 和黄尼克斯。

至少自 2017 年以来一直活跃， 据评估， MuddyWater 隶属于伊朗情报和安全部 (MOIS)，主要针对中东实体。

的使用 该网络间谍组织对MuddyC2Go Deep Instinct 上个月首次强调了 ，将其描述为基于 Golang 的PhonyC2 替代品，而 PhonyC2 本身就是 MuddyC3 的后继者。 然而，有证据表明它可能早在 2020 年就已被采用。

虽然 MuddyC2Go 的全部功能尚不清楚，但该可执行文件配备了一个 PowerShell 脚本，该脚本会自动连接到 Seedworm 的 C2 服务器，从而使攻击者能够远程访问受害者系统，而无需操作员手动执行。

最新的一组入侵发生于 2023 年 11 月，人们还发现它依赖于 SimpleHelp 和 Venom Proxy，以及自定义键盘记录器和其他公开可用的工具。

以进行初始访问的记录 该组织发起的攻击链拥有将网络钓鱼电子邮件和未修补的应用程序中的已知漏洞武器化 ，然后进行侦察、横向移动和数据收集。

在赛门铁克记录的针对未具名电信组织的攻击中，执行 MuddyC2Go 启动程序是为了与攻击者控制的服务器建立联系，同时还部署合法的远程访问软件，例如 AnyDesk 和 SimpleHelp。

据称，该实体此前曾于 2023 年早些时候被对手攻陷，其中 SimpleHelp 用于启动 PowerShell、提供代理软件以及安装 JumpCloud 远程访问工具。

赛门铁克指出：“在攻击者瞄准的另一家电信和媒体公司中，多次使用 SimpleHelp 事件连接到已知的 Seedworm 基础设施。” 黑客工具的自定义构建 “该网络上还执行了Venom Proxy ，以及攻击者在此活动中使用的新自定义键盘记录器。”

该公司表示，通过在攻击链中结合使用定制的、离地的和公开可用的工具，其目标是尽可能长时间地逃避检测，以实现其战略目标。

赛门铁克总结道：“该组织将在需要时继续创新和开发其工具集，以使其活动不受关注。” “该组织仍然大量使用 PowerShell 和 PowerShell 相关工具和脚本，这凸显了组织需要意识到其网络上 PowerShell 的可疑使用。”