Иранская хакерская группа MuddyWater, спонсируемая государством, была замечена в использовании нового вредоносного ПО, отходя от своей привычной тактики применения легитимного программного обеспечения для удаленного мониторинга и управления (RMM) для поддержания постоянного доступа.
Новая угроза: BugSleep и MuddyRot
По данным независимых исследований компаний Check Point и Sekoia, новый вредонос получил коды BugSleep и MuddyRot. Как отмечается в отчете Sekoia, «в отличие от предыдущих кампаний, на этот раз MuddyWater изменила цепочку заражения и не использовала легитимный инструмент Atera для удаленного мониторинга и управления (RRM) в качестве валидатора». Вместо этого было использовано новое и ранее не документированное имплантируемое ПО.
Цели и масштабы атак
Элементы данной кампании впервые были обнародованы израильской кибербезопасной компанией ClearSky 9 июня 2024 года. Целями атак стали такие страны, как Турция, Азербайджан, Иордания, Саудовская Аравия, Израиль и Португалия.
MuddyWater (также известная как Boggy Serpens, Mango Sandstorm и TA450) — это группа угроз, связанная с Министерством разведки и безопасности Ирана (MOIS). Как выяснили в vpnРоссия, атаки, проводимые группой, характеризуются стабильностью и использованием фишинговых приманок для доставки различных RMM-инструментов, таких как Atera Agent, RemoteUtilities, ScreenConnect, SimpleHelp и Syncro.
Тактика и цели MuddyWater
В апреле 2023 года HarfangLab заметила рост числа кампаний MuddyWater по доставке Atera Agent с конца октября 2023 года на предприятия в Израиле, Индии, Алжире, Турции, Италии и Египте. Целевыми секторами стали авиалинии, ИТ-компании, телекоммуникации, фармацевтика, автомобильное производство, логистика, путешествия и туризм.
Французская кибербезопасная фирма отметила, что MuddyWater придает большое значение получению доступа к корпоративным почтовым аккаунтам в рамках своих атакующих кампаний.
Эти скомпрометированные аккаунты позволяют группе увеличивать надежность и эффективность своих фишинговых усилий, устанавливать постоянное присутствие в целевых организациях и избегать обнаружения, смешиваясь с легитимным сетевым трафиком.
HarfangLab
Текущие цепочки атак
Последние цепочки атак аналогичны предыдущим: скомпрометированные почтовые аккаунты легитимных компаний используются для отправки фишинговых сообщений, содержащих либо прямую ссылку, либо PDF-вложение с указанием на субдомен Egnyte, который ранее использовался угрозой для распространения Atera Agent.
Характеристики BugSleep (MuddyRot)
BugSleep, также известный как MuddyRot, представляет собой x64 имплант, разработанный на C, который обладает возможностями загрузки/выгрузки произвольных файлов на/с зараженного хоста, запуска обратной оболочки и установления постоянства. Коммуникации с командным и контрольным сервером (C2) происходят через сырой TCP сокет на порту 443.
Первое сообщение, отправляемое на C2, содержит отпечаток хоста-жертвы, который представляет собой комбинацию имени хоста и имени пользователя, соединенных через косую черту. Если жертва получает «-1», программа останавливается, в противном случае вредоносное ПО переходит в бесконечный цикл ожидания новых команд от C2.
Причины перехода к новому импланту
Неясно, почему MuddyWater перешла к использованию кастомного импланта, но предполагается, что увеличенный мониторинг RMM-инструментов со стороны служб безопасности мог сыграть свою роль.
Увеличенная активность MuddyWater на Ближнем Востоке, особенно в Израиле, подчеркивает настойчивый характер этих акторов угроз, которые продолжают действовать против широкого спектра целей в регионе. Их постоянное использование фишинговых кампаний с внедрением нового импланта BugSleep отмечает значительное развитие их тактик, техник и процедур (TTPs).
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Леся – ведущий дата-аналитик в проекте VPRussia, обладает более чем 5-летним опытом в области анализа данных и разработки аналитических решений. С образованием в области математики и компьютерных наук, Леся специализируется на использовании Python, R и SQL для обработки и анализа больших данных. Её ключевые задачи включают сбор и анализ данных о пользователях VPN-сервисов, разработку моделей для оценки их эффективности, а также создание отчетов и визуализаций для команды и руководства.