伊朗政府支持的网络间谍组织 MuddyWater 使用自定义后门升级了其恶意软件,用于针对以色列组织。
该团伙与伊朗情报和安全部 (MOIS) 有联系,美国于 2022 年制裁了该部,以回应其对阿尔巴尼亚的袭击和其他“针对美国及其盟国的网络活动”。
在 2023 年 10 月 7 日哈马斯领导的袭击事件发生后,MuddyWater 加入了一场明显的反以色列运动,该运动涉及几个伊朗团体。根据 Check Point Research 的说法,此后它转向了部署新后门的网络钓鱼活动——称为 BugSleep。
该团伙的网络钓鱼诱饵最近使用邀请参加网络研讨会和在线课程。自 2 月以来,Check Point 记录了 50 多封此类邮件,这些邮件发送给以色列经济十个部门的数百人。
“其中包括针对以色列市政当局以及更广泛的航空公司,旅行社和记者的显着网络钓鱼活动,”Check Point的威胁情报团队在周一的一份报告中写道。
这些邮件通常是从受感染的组织电子邮件帐户发送的,这有助于诱骗用户打开它们。虽然大多数针对以色列企业,但其他人则被派往土耳其、沙特阿拉伯、印度和葡萄牙的公司。
这些电子邮件包含一个链接,该链接指向合法文件共享和协作平台 Egnyte.com 的子域。一旦用户点击网络钓鱼链接,他们就会看到合法公司或个人的名称,这为骗局提供了可信度。
“在发送给沙特阿拉伯一家运输公司的链接中,显示的所有者姓名是哈马斯前领导人哈立德·马沙尔(Khaled Mashal),也是哈马斯的杰出领导人之一,”Check Point Research写道。
- Microsoft:在哈马斯发动袭击几天后,伊朗的网络工作人员被困在以色列——而不是同时行动
- 山姆大叔就阿尔巴尼亚网络攻击制裁伊朗情报机构
- DarkGate 是恶意软件的瑞士军刀,在竞争对手 Qbot 被粉碎后蓬勃发展
- 中国的 APT41 工作人员在其工具箱中添加了一个隐蔽的恶意软件加载程序和新的后门
在针对以色列市政当局的袭击中,这些电子邮件宣传了一个不存在的市政应用程序,“旨在自动化任务,提高效率,并确保运营的最大安全性”。
但是,单击该链接不会下载应用程序。相反,它会将 BugSleep 放在受害者的机器上。
这种新的定制恶意软件“部分取代”了 MuddyWater 使用合法的远程监控和管理工具。“我们发现了正在分发的恶意软件的几个版本,每个版本之间的差异显示了改进和错误修复(有时还会创建新的错误),”Check Point建议道。这种策略还使安全软件更难获取攻击代码的签名。
威胁猎人进一步分析了恶意软件,并对其进行了如下描述:
BugSleep 主逻辑在所有版本中都是相似的,首先是多次调用 API 以规避沙箱,然后加载正常运行所需的 API。然后,它创建一个互斥锁(我们在示例中观察到)并解密其配置,其中包括 C&C IP 地址和端口。所有配置和字符串都以相同的方式加密,其中每个字节都用相同的硬编码值减去。Sleep"PackageManager""DocumentUpdater"
Check Point 分析的样本创建了几个不同的计划任务,每 30 分钟触发一次,这也确保了受感染设备上的持久性。
其中包括将被盗文件发送到控制和命令服务器、将内容写入文件、删除任务和创建新任务以及更新睡眠时间和超时值。
分析的其中一个示例包括帮助恶意软件逃避端点检测工具检测的方法:
首先,恶意软件启用结构的标志,以防止进程加载未经 Microsoft 签名的图像。这样可以防止其他进程将 DLL 注入进程。MicrosoftSignedOnlyProcessSignaturePolicy
接下来,它启用结构的标志,以防止进程生成动态代码或修改现有的可执行代码。启用可能有助于保护它免受 EDR 解决方案的影响,这些解决方案挂钩用户空间 API 函数以检查程序的意图。ProhibitDynamicCodeProcessDynamicCodePolicyProcessDynamicCodePolicy
该恶意软件的另一个版本还包括自定义 shellcode 加载程序。
Check Point警告说,虽然工作人员继续专注于其恶意软件活动中的特定领域,但从定制诱饵转向更通用的诱饵也将使网络间谍更容易专注于更大规模的攻击。