主要发现
-
隶属于伊朗情报和安全部 (MOIS) 的 MuddyWater 威胁组织自 2023 年 10 月以色列与哈马斯战争开始以来,显著 增加了 在以色列的活动。与此同时,该组织还针对沙特阿拉伯、土耳其、阿塞拜疆、印度和葡萄牙的目标开展活动。
-
威胁行为者经常使用从受感染的组织电子邮件帐户发送的网络钓鱼活动。网络钓鱼活动通常会导致部署合法的远程管理工具 (RMM),例如 Atera Agent 和 Screen Connect。
-
最近,浑水活动还导致部署了一种新的、以前未记录的定制后门,我们称之为 BugSleep,用于针对以色列的组织。
-
BugSleep 是一个后门,旨在执行威胁行为者的命令并在受感染的计算机和 C&C 服务器之间传输文件。该后门目前处于开发阶段,威胁行为者正在不断改进其功能并修复漏洞。
介绍
MuddyWater 是 隶属于伊朗 情报和安全部 (MOIS) 的一个威胁组织,据了解,该组织至少自 2017 年以来一直活跃。去年,MuddyWater 针对中东地区开展了广泛的网络钓鱼活动,重点关注以色列。自 2023 年 10 月以来,该组织的活动显著增加。他们的方法保持一致,利用从受感染的电子邮件帐户发送的网络钓鱼活动,针对目标国家/地区的各种组织。这些活动通常会导致部署合法的远程管理工具 (RMM),例如 Atera Agent 或 Screen Connect。然而,最近他们部署了一个我们追踪为 BugSleep 的自定义后门。
在本报告中,我们讨论了最近的网络钓鱼活动的细节以及它们如何反映该组织的利益。此外,我们还分析了 MuddyWater 最新的技术、策略和程序 (TTP),包括 BugSleep 自定义后门和对合法文件共享服务 Egnyte 的滥用。
电子邮件和诱饵
MuddyWater 攻击活动通常包括从受感染的电子邮件帐户向各种目标发送大量电子邮件。尽管他们的诱饵针对的是大量不同的组织或个人,但它们通常专注于特定行业或部门,突出该组织的兴趣点。其中包括针对以色列市政当局以及更广泛的航空公司、旅行社和记者群体的著名网络钓鱼活动。总体而言,自 2024 年 2 月以来,我们发现了 50 多封针对 10 多个行业的鱼叉式网络钓鱼电子邮件,这些电子邮件已发送给数百名收件人。
图 1 – 值得注意的网络钓鱼活动。
在每一项活动中,攻击者都会使用定制的诱饵,发送给同一地区的数十个目标。例如,针对市政当局的诱饵包含一条建议,建议下载专为市政当局创建的新应用程序:
图 2 – 向以色列各市政府发送的诱饵电子邮件。
翻译的电子邮件:
主题:特别优惠:面向市政当局的新应用程序——限时优惠!
尊敬的客户,为了庆祝国际母亲节,我们很高兴地宣布推出我们最新的市政应用程序。这款创新工具经过精心设计,可自动执行任务、提高效率并确保运营的最大安全性。
仅限今天,我们提供此应用程序的免费下载。让您的市政当局能够简化工作流程并安全地为未来的任务做好准备。立即下载
抓住这个机会,利用我们的创新解决方案彻底改变您所在城市的运营。不要错过!
此致敬礼,[删除]
在最近的活动中,该组织转向使用更通用但更精心制作的网络钓鱼诱饵,例如网络研讨会和在线课程的邀请。这种方法使他们能够在不同的目标和地区重复使用相同的诱饵。此外,虽然他们主要使用目标的当地语言,但现在他们更频繁地使用英语。
这种转变体现在两封使用相同诱饵的不同电子邮件中:一封发送给沙特阿拉伯的目标,另一封发送给以色列。主要区别在于发送邮件的电子邮件地址和最终的有效载荷。在沙特阿拉伯,它是 RMM,而在以色列,它是自定义后门 BugSleep。
比较两封使用相同诱饵的在线课程电子邮件:
| 电子邮件的特点 | 版本 1 | 版本 2 |
|---|---|---|
| 从 | 一家沙特阿拉伯公司的电子邮件帐户遭到入侵。 | 一家以色列公司的电子邮件账户遭到入侵。 |
| 到 | 沙特阿拉伯的公司。 | 以色列的公司。 |
| 关联 | 电子邮件包含指向 Egnyte 子域的直接链接。 | 电子邮件包含带有嵌入链接的 PDF 附件。 |
| 有效载荷 | Atera RMM 工具。 | BugSleep 后门。 |
图 3 – 电子邮件比较(顶部为版本 1)。
两封电子邮件内容的唯一区别是公司名称和最后两行带有可以在 PDF 附件中找到的链接。
图 4 – 电子邮件版本 2 的 PDF 附件。
将这些活动归咎于 MuddyWater 的观点得到了他们所采用的独特行为模式和 RMM 工具的支持,这些模式和工具在过去几年的运营中一直存在。
BugSleep 感染链
传递BugSleep后门的典型感染链如下:
图 5 – MuddyWater 新的感染链。
Egnyte 滥用
Egnyte 是一个安全的文件共享平台,允许员工和公司通过网络浏览器轻松共享文件。最近,MuddyWater 频繁使用 Egnyte 子域名,将其与钓鱼电子邮件中使用的公司名称对齐。打开共享链接后,收件人可以看到所谓的发件人的名称,该名称通常看起来是合法的,并且符合目标国家的命名惯例。
在发送给沙特阿拉伯一家运输公司的链接中,显示的车主名字是哈马斯前负责人、著名领导人之一哈立德·马沙尔。
图 6 – “Khaled Mashal”共享的存档文件。
BugSleep 技术分析
BugSleep 是一种新型定制恶意软件,自 2024 年 5 月以来一直用于 MuddyWater 网络钓鱼诱饵,部分取代了他们对合法 RMM 工具的使用。我们发现了该恶意软件的多个版本正在传播,每个版本之间的差异表明改进和错误修复(有时会产生新的错误)。这些更新发生在样本之间的短间隔内,表明了一种反复试验的方法。
BugSleep 的主要逻辑在所有版本中都相似,首先是多次调用 API Sleep 以逃避沙箱,然后加载正常运行所需的 API。然后,它会创建一个互斥锁(我们在样本中观察到了这一点 “PackageManager” ) “DocumentUpdater” 并解密其配置,其中包括 C&C IP 地址和端口。所有配置和字符串都以相同的方式加密,每个字节都用相同的硬编码值减去。
在大多数 BugSleep 样本中,恶意软件随后会创建一个与互斥锁同名的计划任务,并向 “sample comment” 其中添加注释。该计划任务可确保 BugSleep 的持久性,它会运行恶意软件,每天每 30 分钟触发一次。
图 7 – BugSleep 使用的设置持久性的计划任务方法。
恶意软件通信也采用与其字符串相同的方式加密,将每个字节模 256 加 3。BugSleep 与其 C&C 域之间交换的每条消息都遵循以下格式: [size_of_data][data]。
BugSleep 首先发送受害者的 ID,由计算机名称和用户名组成,格式为 [computer_name][username]。
该恶意软件可以根据 C&C 发送的数据执行多个命令:
| 命令数 | 参数 | 描述 |
|---|---|---|
| 1 | 文件名 | 将文件内容发送到C&C。 |
| 2 | 文件名 | 将内容写入文件。 |
| 3 | 命令 | 通过 cmd 管道运行命令,直到命令“终止”。 |
| 4 | 超时值 | 通过添加新的超时值来更新“接收超时”。 |
| 6 | – | 停止通讯。 |
| 9 | – | 删除持久化任务。 |
| 10 | – | 获取持久任务的状态。 |
| 11 | – | 创建持久性任务。 |
| 97 | 睡觉时间 | 更新睡眠时间(在第一个版本中未发现)。 |
| 98 | 超时值 | 更新接收超时(在第一个版本中未发现)。 |
| 99 | – | 发回相同的值(ping 类型)。 |
逃避
在其中一个恶意软件版本中,开发人员实现了几种逃避 EDR 解决方案的方法。首先,恶意软件启用 结构MicrosoftSignedOnly 的标志 ProcessSignaturePolicy ,以防止进程加载未经 Microsoft 签名的映像。这可以防止其他进程将 DLL 注入 进程。
接下来,它启用 结构ProhibitDynamicCode 的标志 ProcessDynamicCodePolicy ,以防止进程生成动态代码或修改现有的可执行代码。启用该标志 ProcessDynamicCodePolicy可能有助于保护它免受 EDR 解决方案的攻击,这些解决方案会挂接用户空间 API 函数来检查程序的 意图。
图 8 – 逃避方法。
BugSleep 加载器
我们分析的其中一个样本带有自定义加载程序。加载程序会注入一个 shellcode,根据进程是否已在运行,将 BugSleep 加载到内存中:
-
执行程序
-
运行程序
-
chrome 程序
-
桌面端程序
-
卸载程序
-
执行程序
在这种情况下,shellcode 也使用与 BugSleep 中的字符串相同的算法进行加密,但移位不同:每个字节都减去一个硬编码值 6。解密后,加载程序使用 API 将 shellcode 写入进程内部, WriteProcessMemory 并使用 API 调用 shellcode CreateRemoteThread 。
错误和未使用的代码
一些样本包含多个错误,部分代码写得很糟糕,存在可疑的遗漏或添加,似乎是错误。
-
其中一个示例检查文件是否 “C:userspublica.txt” 存在,如果不存在,它会创建文件,然后删除。此代码的用途并不完全清楚,可能是作者插入的未完成代码,也可能是从其他地方借来的,因为作者没有完全理解代码的作用。
-
在一个样本中,一些 API 名称没有像其他名称一样加密,可能是由于缺乏注意。
-
在一些样本中,恶意软件没有正确加密(每个字节加 3),而是运行解密算法(每个字节减 3),这可能是错误。在较新的样本中,恶意软件作者修复了该错误,但并未对所有命令执行相同操作。另一个可疑的操作是恶意软件在发送数据后对其进行解密。我们假设他们的意图是再次加密字符串,以便它们不会在内存中显示,但在这种情况下,它做了相反的事情。
图 9 – 发送方法中的加密/解密混淆。
目标
根据我们的遥测数据,MuddyWater 的这些攻击活动针对的是各行各业,从政府实体和市政当局到媒体和旅行社。虽然大多数电子邮件是发给以色列公司的,但其他一些则针对土耳其、沙特阿拉伯、印度和葡萄牙的实体。
图 10 – 目标国家地图。
此外,与最新活动相关的文件已从多个 IP 位置上传到 VirusTotal,包括阿塞拜疆和约旦。值得注意的是,就阿塞拜疆而言,由于 PDF 诱饵中使用的是阿塞拜疆语,我们可以与目标建立关联。
图 11 – 用阿塞拜疆语编写的 PDF 诱饵。
翻译后的PDF文档:
亲爱的朋友和同事们,
国际公司 CASPEL 组织了一场关于信息技术和网络解决方案的在线网络研讨会。
这次国际网络研讨会的目的是防止任何网络破坏行为,并与非洲和中东的信息技术公司建立深厚的关系。
该地区许多知名公司将参加此次研讨会,该领域的任何专家都将讨论和交流想法。
要参加网络研讨会,请访问以下链接并下载网络研讨会软件。[链接]
谢谢。
结论
MuddyWater 在中东(尤其是以色列)的活动日益频繁,凸显了这些威胁行为者的持久性,他们继续针对该地区的各种目标开展攻击。他们持续使用网络钓鱼活动,现在还加入了自定义后门 BugSleep,标志着他们的技术、战术和程序 (TTP) 有了显著发展。
这些活动反映了该组织的兴趣,重点关注市政当局、航空公司、旅行社和媒体等特定行业。尽管这些活动针对的是特定行业,但随着时间的推移,诱饵本身的性质已经变得简单得多。从高度定制的诱饵转变为更通用的主题,例如网络研讨会和在线课程,再加上英语的使用增加,该组织可以专注于更高的数量,而不是特定的目标。
IOCs
Domains:
kinneretacil.egnyte[.]comsalary.egnyte[.]comgcare.egnyte[.]comrimonnet.egnyte[.]comalltrans.egnyte[.]commegolan.egnyte[.]combgu.egnyte[.]comfbcsoft.egnyte[.]comcnsmportal.egnyte[.]comalkan.egnyte[.]comgetter.egnyte[.]comksa1.egnyte[.]comfilecloud.egnyte[.]comnour.egnyte[.]comairpazfly.egnyte[.]comcairoairport.egnyte[.]comsilbermintz1.egnyte[.]comsmartcloudcompany[.]comonlinemailerservices[.]comsmtpcloudapp[.]comsoftwarehosts[.]comairpaz.egnyte[.]comairpazflys.egnyte[.]comfileuploadcloud.egnyte[.]comdownloadfile.egnyte[.]com
URLs:
https://shorturl[.]at/NCxJkhttps://shorturl[.]at/bYqUxhttps://ws.onehub[.]com/files/bbmiio1chttps://ws.onehub[.]com/files/zgov9aqy
IP addresses:
C&C:146.19.143[.]1491.235.234[.]20285.239.61[.]97Other:95.164.32[.]695.252.23[.]52194.4.50[.]133193.109.120[.]59
IP address used for sending emails:
89.221.225[.]8145.150.108[.]198200.200.200[.]248169.150.227[.]230169.150.227[.]205185.248.85[.]20141.98.252[.]14331.171.154[.]54146.70.172[.]227198.54.131[.]36
Hashes:
BugSleep:73c677dd3b264e7eb80e26e78ac9df1dba30915b5ce3b1bc1c83db52b9c6b30e960d4c9e79e751be6cad470e4f8e1d3a2b11f76f47597df8619ae41c96ba5809b8703744744555ad841f922995cef5dbca11da22565195d05529f5f9095fbfca94278fa01900fdbfb58d2e373895c045c69c01915edc5349cd6f3e5b7130c4725df724c220aed7b4878a2a557502a5cefee736406e25ca48ca11a70608f3a1c0RMM MSI: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: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
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):MUDDYWATER 近期攻击活动中部署了新的 BUGSLEEP 后门
