伊朗黑客集团 MuddyWater 的最新攻击行动

文章重点

• 伊朗政府支持的黑客组织 MuddyWater 针对以色列研究机构 Technion 和 PaperCut 伺服器发动攻击，使用了新的 PhonyC2 指挥控制框架。
• 新框架持续更新，显示出攻击者的技术和策略的变化。
• 初步获取受害者机器的访问权限至关重要，以便执行 PowerShell 有效负载。

根据 的报导，伊朗国家支持的威胁组织 MuddyWater 针对以色列著名的研究机构 Technion，以及多个
PaperCut 伺服器进行了攻击。这些攻击涉及使用新的 PhonyC2 事后利用指挥控制框架。相较于 MuddyWater 之前使用的 MuddyC3框架，PhonyC2 在不断更新和改进的同时，攻击者也对其策略、技术和操作流程进行了持续调整。

Deep Instinct 的报告显示，研究人员 Simon Kenin 指出，攻击者利用 PhonyC2来“生成各种有效负载，这些有效负载连接回指挥控制伺服器并等待操作员的指令，以执行侵入链最后一步”。而 Deep Instinct 威胁研究团队负责人
Mark Vaitzman 则强调，获取受损机器的初步访问权限对于执行 PowerShell有效负载至关重要。他补充道：“一些生成的有效负载会连接回操作员的指挥控制伺服器，以便确保持久性”。Vaitzman 亦提及 MuddyWater在攻击中使用了其他指挥控制框架的情况。

攻击组织 | 目标 | 使用技术
—|—|—
MuddyWater | Technion, PaperCut | PhonyC2, PowerShell

进一步了解

这次的攻击行动强调了国家支持的黑客集团在持续演进的技术和策略中，不断进行创新，对于受害者机构的安全防护提出了挑战。