大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
近期,网络安全研究人员发现了一种新的恶意软件变种,由与伊朗情报和安全部(MOIS)有联系的朝鲜黑客组织MuddyWater发布。这一发现引起了全球对网络安全威胁的高度关注,尤其是在2023年10月7日哈马斯袭击事件后,该组织加入了一场明显的反以色列运动。
MuddyWater:新的网络钓鱼手法
根据Check Point Research的报告,MuddyWater开始了一系列针对以色列的网络钓鱼活动,使用名为BugSleep的新后门恶意软件。这些网络钓鱼邮件通常假装邀请受害者参加网络研讨会和在线课程,自2023年2月以来,Check Point记录了超过50封此类邮件,目标是以色列经济十个部门的数百名个人。
钓鱼邮件的诱骗手法
这些邮件通常由受感染的组织电子邮件账户发送,使其看起来更加可信。虽然大多数邮件针对的是以色列企业,但也有部分邮件发送给土耳其、沙特阿拉伯、印度和葡萄牙的公司。这些邮件包含一个链接,指向合法文件共享和协作平台Egnyte.com的子域名。用户点击钓鱼链接后,会看到合法公司或个人的名称,使骗局更加可信。
例如,在发送给沙特阿拉伯一家运输公司的邮件中,显示的所有者名字是哈马斯前负责人兼著名领导人之一哈立德·马沙尔(Khaled Mashal)。
BugSleep:隐秘而危险的后门
Check Point分析的BugSleep恶意软件展示了其主要逻辑:首先通过多次调用APISleep以逃避沙箱检测,然后加载正常运行所需的API,创建一个互斥锁并解密其配置,包括C&C IP地址和端口。所有配置和字符串都以相同的方式加密,每个字节都用相同的硬编码值减去。
BugSleep的不同版本之间的差异表明了改进和错误修复,有时还会创建新的错误。这种策略使安全软件更难获取攻击代码的签名。此外,BugSleep还创建了几个不同的计划任务,每30分钟触发一次,确保了受感染设备上的持久性。
这些任务包括将被盗文件发送到控制和命令服务器、将内容写入文件、删除任务并创建新任务,以及更新睡眠时间和超时值。
逃避检测的高级手段
为了逃避检测,BugSleep启用了结构MicrosoftSignedOnly的标志ProcessSignaturePolicy,以防止进程加载未经微软签名的映像,防止其他进程将DLL注入到进程中。此外,它还启用了结构ProhibitDynamicCode的标志ProcessDynamicCodePolicy,以防止进程生成动态代码或修改现有的可执行代码,这可能有助于保护它免受EDR解决方案的攻击。
MuddyWater的全球威胁
此次披露之际,Phylum公司也发现了一个名为call-blockflow的新恶意npm包,该包模仿了合法的call-bind库,结合了下载远程二进制文件的复杂功能。这些攻击表明,MuddyWater在恶意软件活动中继续专注于特定领域,但从定制诱饵转向更通用的诱饵,使网络间谍更容易专注于更大规模的攻击。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜APT MuddyWater新变种恶意软件瞄准以色列网络安全
