根据 Hacker News 的报导,伊朗国家支持的威胁组织 MuddyWater 针对以色列著名的研究机构 Technion,以及多个 PaperCut 伺服器进行了攻击。这些攻击涉及使用新的 PhonyC2 事后利用指挥控制框架。相较于 MuddyWater 之前使用的 MuddyC3 框架,PhonyC2 在不断更新和改进的同时,攻击者也对其策略、技术和操作流程进行了持续调整。
Deep Instinct 的报告显示,研究人员 Simon Kenin 指出,攻击者利用 PhonyC2 来“生成各种有效负载,这些有效负载连接回指挥控制伺服器并等待操作员的指令,以执行侵入链最后一步”。而 Deep Instinct 威胁研究团队负责人 Mark Vaitzman 则强调,获取受损机器的初步访问权限对于执行 PowerShell 有效负载至关重要。他补充道:“一些生成的有效负载会连接回操作员的指挥控制伺服器,以便确保持久性”。Vaitzman 亦提及 MuddyWater 在攻击中使用了其他指挥控制框架的情况。
极光加速器稳定性攻击组织目标使用技术MuddyWaterTechnion PaperCutPhonyC2 PowerShell这次的攻击行动强调了国家支持的黑客集团在持续演进的技术和策略中,不断进行创新,对于受害者机构的安全防护提出了挑战。
