BugSleep

Iranische Angreifer missbrauchen Backdoor für Spear-Phishing-Angriffe

Iranische Angreifer missbrauchen Backdoor für Spear-Phishing-Angriffe

Check Point Research (CPR), die Threat-Intelligence-Abteilung von Check Point Software Technologies Ltd., hat eine neue Backdoor namens „BugSleep“ aufgedeckt. Diese Hintertür wurde von der iranischen Hackergruppe MuddyWater entwickelt, die in Verbindung mit dem iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS) steht und seit mindestens 2017 aktiv ist. BugSleep wird für Angriffe auf verschiedene Sektoren in mehreren Ländern, darunter Israel, Türkei, Saudi-Arabien, Indien und Portugal, eingesetzt.

Phishing-Angriffe in mehreren Ländern und Branchen

MuddyWater führt groß angelegte Phishing-Kampagnen durch, die gezielt auf verschiedene Organisationen und Einzelpersonen in unterschiedlichen Ländern abzielen. Seit Oktober 2023 haben die Aktivitäten der Gruppe zugenommen, wobei sie legitime Remote Monitoring & Management Tools (RMM) wie Atera Agent oder Screen Connect verwenden. Diese Phishing-Kampagnen zielen auf spezifische Sektoren wie israelische Gemeinden, Fluggesellschaften, Reisebüros und Journalisten ab. CPR hat seit Februar 2024 über 50 Spear-Phishing-E-Mails identifiziert, die an Hunderte von Empfängern in mehr als 10 Branchen gesendet wurden.

Spezielle Köder und Methoden

Die Hacker verwenden maßgeschneiderte Köder, die an Zielgruppen im gleichen Sektor versandt werden. Ein Beispiel ist eine E-Mail, die an Kommunen verschickt wurde und zur Installation einer neuen App aufforderte. Zwei identische E-Mails wurden an Zielpersonen in Saudi-Arabien und Israel geschickt, wobei die Unterschiede in den verwendeten E-Mail-Adressen und der finalen Workload lagen. In Saudi-Arabien wurde ein RMM eingesetzt, während in Israel die Backdoor BugSleep zum Einsatz kam. Dateien im Zusammenhang mit diesen Kampagnen wurden von verschiedenen IP-Standorten, darunter Aserbaidschan und Jordanien, auf VirusTotal hochgeladen.

Missbrauch der Plattform Egnyte

MuddyWater nutzt häufig die Kollaborationsplattform Egnyte für ihre Phishing-Angriffe. Sie erstellen Egnyte-Subdomänen, die mit den Firmennamen der Zielorganisationen übereinstimmen. Wenn Empfänger den freigegebenen Link öffnen, sehen sie den Namen eines angeblichen Absenders, der oft legitim erscheint. Ein Beispiel ist ein Link, der an ein Transportunternehmen in Saudi-Arabien geschickt wurde und den Namen des Hamas-Führers Khaled Mashal anzeigte.

Technische Details von BugSleep

BugSleep ist eine maßgeschneiderte Malware, die seit Mai 2024 in den Phishing-Ködern von MuddyWater verwendet wird. Sie ersetzt teilweise den Einsatz legitimer RMM-Tools. CPR entdeckte mehrere Versionen der Malware, die sich durch kontinuierliche Verbesserungen und Fehlerbehebungen auszeichnen. Die Hauptlogik von BugSleep ist in allen Versionen ähnlich: Sie beginnt mit vielen Aufrufen der Sleep-API, um Sandboxen zu umgehen, lädt dann die benötigten APIs und erstellt einen Mutex. Anschließend entschlüsselt sie ihre Konfiguration, die die IP-Adresse und den Port des Command-and-Control (C&C)-Servers der Hacker enthält. Alle Konfigurationen und Zeichenketten sind verschlüsselt, indem jedes Byte mit einem hart kodierten Wert subtrahiert wird.

In den meisten Beispielen erstellt BugSleep eine geplante Aufgabe mit demselben Namen wie die Mutex, die die Persistenz der Malware gewährleistet. Diese Aufgabe wird alle 30 Minuten ausgeführt.

Ausweitung der Aktivitäten und Taktiken von MuddyWater

Die verstärkten Aktivitäten von MuddyWater im Nahen Osten, insbesondere in Israel, zeigen die Hartnäckigkeit dieser Bedrohungsakteure. Sie erweitern ihr geografisches Zielgebiet und greifen mittlerweile auch europäische Länder wie Portugal an. Die Gruppe setzt konsequent Phishing-Kampagnen ein, die nun die benutzerdefinierte Backdoor BugSleep enthalten. Dies stellt eine bemerkenswerte Entwicklung in ihren Techniken, Taktiken und Verfahren (TTPs) dar. Obwohl die Gruppe spezifische Sektoren ins Visier nimmt, sind die Köder im Laufe der Zeit allgemeiner geworden. Früher waren sie hochgradig maßgeschneidert, heute drehen sie sich eher um allgemeinere Themen wie Webinare und Online-Kurse. Diese Veränderung, zusammen mit der vermehrten Verwendung der englischen Sprache, ermöglicht es MuddyWater, ein größeres Volumen von Opfern anzusprechen.

Check Point-Kunden sind gegen die in diesem Bericht beschriebenen Bedrohungen geschützt. Die fortlaufenden Analysen und Updates von Check Point Research helfen, neue Bedrohungen wie BugSleep zu erkennen und abzuwehren. Die Aktivitäten von MuddyWater zeigen die Notwendigkeit kontinuierlicher Wachsamkeit und Anpassung an neue Bedrohungen im Bereich der Cybersicherheit.