قراصنة إيرانيون ينشرون بابًا خلفيًا جديدًا لـ BugSleep في الهجمات السيبرانية في الشرق الأوسط

لوحظ أن الدولة القومية الإيرانية المعروفة باسم MuddyWater تستخدم بابًا خلفيًا لم يسبق له مثيل كجزء من حملة الهجوم الأخيرة، مبتعدة عن تكتيكها المعروف المتمثل في نشر برامج المراقبة والإدارة عن بعد (RMM) الشرعية للحفاظ على استمراريتها. وصول.

وذلك وفقًا للنتائج المستقلة التي توصلت إليها شركتا الأمن السيبراني Check Point وSekoia، اللتان أطلقتا الاسم الرمزي على سلالة البرامج الضارة com.bugSleep و MuddyRot، على التوالى.

“مقارنة بالحملات السابقة، قامت MuddyWater هذه المرة بتغيير سلسلة العدوى الخاصة بها ولم تعتمد على أداة Atera المشروعة للمراقبة والإدارة عن بعد (RRM) كمدقق،” Sekoia قال في تقرير تمت مشاركته مع The Hacker News. “بدلاً من ذلك، لاحظنا أنهم استخدموا غرسة جديدة وغير موثقة.”

وكانت بعض عناصر الحملة مشترك لأول مرة بواسطة شركة الأمن السيبراني الإسرائيلية ClearSky في 9 يونيو 2024. وتشمل الأهداف دولًا مثل تركيا وأذربيجان والأردن والمملكة العربية السعودية وإسرائيل والبرتغال.

MuddyWater (المعروف أيضًا باسم Boggy Serpens وMango Sandstorm وTA450) هو جهة تهديد ترعاها الدولة ويُقدر أنها تابعة لوزارة الاستخبارات والأمن الإيرانية (MOIS).

كانت الهجمات السيبرانية التي شنتها المجموعة متسقة إلى حد ما، حيث استفادت من إغراءات التصيد الاحتيالي في رسائل البريد الإلكتروني لتقديم أدوات RMM المتنوعة مثل Atera Agent وRemoteUtilities وScreenConnect وSimpleHelp وSyncro.

في وقت سابق من شهر أبريل، قالت HarfangLab إنها لاحظت زيادة طفيفة في حملات MuddyWater التي تقدم وكيل Atera منذ أواخر أكتوبر 2023 للشركات في جميع أنحاء إسرائيل والهند والجزائر وتركيا وإيطاليا ومصر. وتشمل القطاعات المستهدفة شركات الطيران وشركات تكنولوجيا المعلومات والاتصالات والأدوية وتصنيع السيارات والخدمات اللوجستية والسفر والسياحة.

“تعطي MuddyWater أولوية قصوى للوصول إلى حسابات البريد الإلكتروني التجارية كجزء من حملاتها الهجومية المستمرة،” شركة الأمن السيبراني الفرنسية ذُكر في الموعد.

“تعمل هذه الحسابات المخترقة كموارد قيمة، مما يمكّن المجموعة من تعزيز مصداقية وفعالية جهود التصيد الاحتيالي، وتحقيق الاستمرارية داخل المنظمات المستهدفة، وتجنب الكشف عن طريق الدمج مع حركة مرور الشبكة المشروعة.”

ولا تختلف أحدث سلاسل الهجمات عن ذلك حيث يتم استخدام حسابات البريد الإلكتروني المخترقة التابعة لشركات شرعية لإرسال رسائل التصيد الاحتيالي التي تحتوي إما على رابط مباشر أو مرفق PDF يشير إلى نطاق فرعي على Egnyte، والذي تم إساءة استخدامه سابقًا من قبل جهة التهديد من أجل نشر وكيل Atera.

BugSleep، المعروف أيضًا باسم MuddyRot، عبارة عن غرسة x64 تم تطويرها في لغة C وتأتي مجهزة بقدرات تنزيل/تحميل ملفات عشوائية إلى/من المضيف المخترق، وإطلاق shell العكسي، وإعداد الثبات. تتم الاتصالات مع خادم الأوامر والتحكم (C2) عبر مقبس TCP خام على المنفذ 443.

وقال سيكويا: “الرسالة الأولى التي يتم إرسالها إلى C2 هي بصمة مضيف الضحية، وهي عبارة عن مزيج من اسم المضيف واسم المستخدم المرتبطين بشرطة مائلة”. “إذا تلقت الضحية ‘-1’، فسيتوقف البرنامج، وإلا تدخل البرامج الضارة في حلقة لا نهائية في انتظار أمر جديد من C2.”

ليس من الواضح حاليًا سبب تحول MuddyWater إلى استخدام غرسة مخصصة، على الرغم من أنه يشتبه في أن المراقبة المتزايدة لأدوات RMM من قبل بائعي الأمن ربما لعبت دورًا.

“إن النشاط المتزايد لشركة MuddyWater في الشرق الأوسط، وخاصة في إسرائيل، يسلط الضوء على الطبيعة المستمرة لهؤلاء التهديد، الذين يواصلون العمل ضد مجموعة واسعة من الأهداف في المنطقة،” Check Point قال.

“إن استخدامهم المستمر لحملات التصيد الاحتيالي، التي تتضمن الآن بابًا خلفيًا مخصصًا، BugSleep، يمثل تطورًا ملحوظًا في تقنياتهم وتكتيكاتهم وإجراءاتهم (TTPs).”