伊朗黑客在中东网络攻击中部署了新的BugSleep后门

人们观察到，这位被称为MuddyWater的伊朗民族国家行为者使用了前所未有的后门，作为最近攻击活动的一部分，偏离了其众所周知的部署合法远程监控和管理（RMM）软件以保持持久访问的策略。

这是根据网络安全公司Check Point和Sekoia的独立调查结果，它们分别将恶意软件菌株BugSleep和MuddyRot代号为代号。

Sekoia在与《黑客新闻》分享的一份报告中表示，与之前的活动相比，这次MuddyWater改变了他们的感染链，没有依赖合法的Atera远程监控和管理工具（RRM）作为验证器。相反，我们观察到他们使用了一种新的、无证的植入物。

该活动的一些元素于2024年6月9日由以色列网络安全公司ClearSky首次分享。目标包括土耳其、阿塞拜疆、约旦、沙特阿拉伯、以色列和葡萄牙等国家。

MuddyWater（又名Boggy Serpens、Mango Sandstorm和TA450）是国家赞助的威胁行为者，被评估为隶属于伊朗情报和安全部（MOIS）。

该集团发起的网络攻击一直相当一致，利用电子邮件中的鱼叉钓鱼诱饵来提供各种RMM工具，如Atera Agent、RemoteUtilities、ScreenConnect、SimpleHelp和Syncro。

今年4月早些时候，HarfangLab表示，它注意到自2023年10月下旬以来，向以色列、印度、阿尔及利亚、土耳其、意大利和埃及的企业交付Atera Agent的MuddyWater活动有所上升。目标行业包括航空公司、IT公司、电信、制药、汽车制造、物流、旅游和旅游。

这家法国网络安全公司当时指出，MuddyWater高度重视访问商业电子邮件帐户，这是他们正在进行的攻击活动的一部分。

这些被盗帐户是宝贵的资源，使该小组能够提高其鱼叉式网络钓鱼工作的可信度和有效性，在目标组织内建立持久性，并通过与合法网络流量混合来逃避检测。

最新的攻击链也没有什么不同，属于合法公司的被盗电子邮件帐户被用来发送鱼叉式钓鱼消息，其中包含直接链接或指向Egnyte子域的PDF附件，该子域以前曾被威胁行为者滥用来传播Atera Agent。

BugSleep，又名MuddyRot，是以C开发的x64植入物，具有向/从受损主机下载/上传任意文件、启动反向外壳和设置持久性的功能。与命令与控制（C2）服务器的通信通过端口443上的原始TCP套接字进行。

Sekoia说，发送到C2的第一条消息是受害者主机指纹，这是主机名和用户名的组合，并由斜杠连接。如果受害者收到“-1”，程序将停止，否则恶意软件将进入无限循环，等待来自C2的新订单。

目前还不清楚为什么MuddyWater改用定制植入物，尽管人们怀疑安全供应商对RMM工具的更多监控可能起到了作用。

他们持续使用网络钓鱼活动，现在纳入了自定义后门BugSleep，标志着他们的技术、战术和程序（TTP）的显著发展。

Check Point说，MuddyWater在中东，特别是以色列活动的增加，凸显了这些威胁行为者的持续性，他们继续针对该地区的各种目标。