Исследователи в области кибербезопасности Check Point обнаружили новый бэкдор* BugSleep в фишинговых атаках, который активизировался в мае 2024 года.
Бэкдор, тайный вход — дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом.
За организацией фишинговых атак с использованием BugSleep стоит группа MuddyWater, которая связана с Министерством разведки и безопасности Ирана.
Цепочка действия злоумышленников выглядит так:
Основная логика BugSleep: начинается со многих вызовов к Sleep API, чтобы избежать обнаружения песочницами, а затем загружает API, которые ему нужно запустить должным образом. Затем он создает мьютекс и расшифровывает его конфигурацию которая включает в себя C&C IP-адрес и порт. Все конфигурации и строки шифруются одинаково, где каждый байт вычитается с одним и тем же жестко закодированным значением.
В большинстве образцов BugSleep бэкдор создает запланированную задачу с тем же названием, что и мьютекс, и добавляет комментарий "sample comment” к нему. Запланированная задача, которая обеспечивает устойчивость к BugSleep, запускает вредоносную программу и запускается каждые 30 минут ежедневно.
В большинстве образцов BugSleep бэкдор создает запланированную задачу с тем же названием, что и мьютекс, и добавляет комментарий "sample comment” к нему. Запланированная задача, которая обеспечивает устойчивость к BugSleep, запускает вредоносную программу и запускается каждые 30 минут ежедневно.
В одной из версий вредоносных программ разработчики реализовали пару методов уклонения от EDR-систем.
Кампании MuddyWater нацелены на широкий спектр секторов, начиная от государственных учреждений и муниципалитетов до средств массовой информации и туристических агентств. В то время как большинство электронных писем было направлено компаниям в Израиле, другие были направлены на предприятия в Турции, Саудовской Аравии, Индии и Португалии. Кроме того, файлы, связанные с последней кампанией, были загружены в VirusTotal из различных IP-адресов, включая Азербайджан и Иорданию.