Grupul de spionaj cibernetic MuddyWatter susținut de Iran a început să folosească parțial un nou implant de malware personalizat pentru a fura fișiere și a rula comenzi pe sistemele compromise.
Noua backdoor, numită BugSleep, este încă în curs de dezvoltare și a fost descoperită de analiștii de la Check Point Research în timp ce era distribuită prin capcane de phishing bine concepute.
Campania împinge malware-ul prin e-mailuri de phishing mascate ca invitații la seminarii online sau cursuri online. E-mailurile redirecționează țintele către arhive care conțin încărcături malware găzduite pe platforma de partajare de fișiere securizată Egnyte.
Câteva versiuni găsite în sălbăticie vin și cu un încărcător de malware personalizat proiectat să-l injecteze în procesele active ale unui număr mic de aplicații, inclusiv Microsoft Edge, Google Chrome, AnyDesk, Microsoft OneDrive, PowerShell și Opera.
„Am descoperit mai multe versiuni ale malware-ului care sunt distribuite, cu diferențe între fiecare versiune care arată îmbunătățiri și remedieri de bug-uri (și uneori crearea unor bug-uri noi),” a declarat Check Point. „Aceste actualizări, care au loc în intervale scurte între mostre, sugerează un abordare de încercare și eroare.”
Odată cu trecerea la BugSleep, MuddyWatter a renunțat la utilizarea exclusivă a uneltelor legitime de management la distanță (RMM) precum Atera Agent și Screen Connect pentru a menține accesul la rețelele victimelor.
Atacurile folosind acest nou malware se concentrează pe o gamă largă de ținte la nivel mondial, de la organizații guvernamentale și municipii la companii aeriene și instituții media, având ca ținte Israelul și unele din Turcia, Arabia Saudită, India și Portugalia.
MuddyWatter (urmărit și ca Earth Vetala, MERCURY, Static Kitten și Seedworm) a fost văzut pentru prima dată în 2017. Este cunoscut în principal pentru vizarea entităților din Orientul Mijlociu (cu accent pe țintele israeliene) și pentru actualizarea continuă a arsenalului său.
Deși relativ nou în comparație cu alte grupuri de spionaj cibernetic susținute de state, acest grup de amenințare iranian este foarte activ și vizează multe sectoare industriale, inclusiv telecomunicații, guvern (servicii IT) și organizații din industria petrolului.
De când a apărut, acesta și-a extins încet atacurile la campanii de spionaj cibernetic împotriva entităților guvernamentale și de apărare din Asia Centrală și de Sud-Vest, precum și organizații din America de Nord, Europa și Asia [1, 2, 3].
În ianuarie 2022, Comandamentul Cibernetic al Statelor Unite (USCYBERCOM) a legat oficial MuddyWatter de Ministerul de Informații și Securitate al Iranului (MOIS), principala agenție de informații guvernamentale a țării.
O lună mai târziu, agențiile de securitate cibernetică și aplicare a legii din SUA și Marea Britanie au expus un alt malware MuddyWater, un nou backdoor Python denumit Small Sieve, implementat pentru a menține persistența și a evita detectarea în rețelele compromise.
Hackerii de la CloudSorcerer abuzează de serviciile cloud pentru a fura date guvernamentale rusești
Backdoor-ul Warmcookie Windows este distribuit prin oferte de joburi false
Software-ul de înregistrare a sălilor de judecată JAVS a fost backdoored într-un atac asupra lanțului de aprovizionare
Noua versiune a malware-ului BiBi Wiper distruge și tabelul de partiționare al discului
Hackerii ruși folosesc noul malware Lunar pentru a sparge agențiile guvernamentale europene
Leave a Reply