Die iranische Hackergruppe MuddyWater operiert mit einer neuen Backdoor namens BugSleep und greift hauptsächlich Ziele in Israel an. The Iranian hacking group MuddyWater is using a new backdoor called BugSleep to attack targets in Israel.
MuddyWater ist eine iranische Bedrohungsgruppe, die mit dem Ministerium für Nachrichtendienste und Sicherheit (MOIS) verbunden ist. Im vergangenen Jahr führte MuddyWater groß angelegte Phishing-Kampagnen durch, die auf den Nahen Osten mit besonderem Schwerpunkt auf Israel abzielten. Seit Oktober 2023 haben die Aktivitäten der Kriminellen deutlich zugenommen.

Ihre Methoden bleiben unverändert: Sie nutzen Phishing-Kampagnen, die von kompromittierten E-Mail-Konten aus versendet werden und auf eine Vielzahl von Organisationen in interessanten Ländern abzielen. Diese Kampagnen führen in der Regel zum Einsatz legitimer Remote Management Tools (RMM) wie Atera Agent oder Screen Connect. In jüngster Zeit haben sie jedoch eine benutzerdefinierte Hintertür implementiert, die von den Analysten von Check Point Research (CPR) als BugSleep bezeichnet wird.

Obwohl die Hacker die Köder an eine Vielzahl von Organisationen oder Einzelpersonen schicken, konzentrieren sie sich oft auf bestimmte Branchen oder Sektoren. Dazu gehören israelische Gemeinden und eine breite Gruppe von Fluggesellschaften, Reisebüros und Journalisten. Insgesamt hat CPR seit Februar 2024 über 50 Spear-Phishing-E-Mails identifiziert, die auf mehr als 10 Branchen gerichtet sind und an Hunderte von Empfängern gesendet wurden. Bei jeder Kampagne verwendeten die Akteure einen maßgeschneiderten Köder, der an Dutzende von Zielgruppen im selben Sektor versandt worden ist. So enthielten die an Kommunen gerichteten Köder beispielsweise die Aufforderung, eine neue, speziell für Kommunen entwickelte App herunterzuladen.

CPR beobachtete zwei verschiedene E-Mails, die genau denselben Köder verwenden: eine wurde an Zielpersonen in Saudi-Arabien und die andere nach Israel geschickt. Die Hauptunterschiede waren die E-Mail-Adressen, die zum Versenden der E-Mails verwendet wurden, und die endgültige Workload. In Saudi-Arabien handelte es sich um ein RMM, in Israel um die benutzerdefinierte Backdoor BugSleep. Darüber hinaus wurden Dateien im Zusammenhang mit der jüngsten Kampagne von verschiedenen IP-Standorten, darunter Aserbaidschan und Jordanien, auf VirusTotal hochgeladen.

Missbrauch der Kollaborations-Plattform Egnyte

Egnyte ist eine Plattform zur gemeinsamen Nutzung von Dateien, die es Mitarbeitern und Unternehmen ermöglicht, Dateien einfach über einen Webbrowser auszutauschen. In letzter Zeit hat MuddyWater häufig Egnyte-Subdomänen verwendet und sie mit den in ihren Phishing-E-Mails verwendeten Firmennamen abgeglichen. Wenn die Empfänger den freigegebenen Link öffnen, sehen sie den Namen des angeblichen Absenders, der oft legitim erscheint und mit den Namenskonventionen des Ziellandes übereinstimmt. Bei einem Link, der an ein Transportunternehmen in Saudi-Arabien geschickt wurde, war der angezeigte Name jener des Eigentümers Khaled Mashal, der ehemalige Leiter der Hamas und einer ihrer prominenten Anführer.

Technische Analyse von BugSleep

BugSleep ist eine neue, maßgeschneiderte Malware, die seit Mai 2024 in den Phishing-Ködern von MuddyWater verwendet wird und teilweise den Einsatz legitimer RMM-Tools ersetzt. CPR stellte fest, dass mehrere Versionen der Malware verbreitet werden, wobei sich die einzelnen Versionen durch Verbesserungen und Fehlerbehebungen unterscheiden (und manchmal auch neue Fehler verursachen). Diese Aktualisierungen, die in kurzen Abständen zwischen den einzelnen Proben erfolgen, lassen auf einen Trial-and-Error-Ansatz schließen.

Die Hauptlogik von BugSleep ist in allen Versionen ähnlich. Sie beginnt mit vielen Aufrufen der Sleep-API, um Sandboxen zu umgehen, und lädt dann die APIs, die sie zum ordnungsgemäßen Betrieb benötigt. Dann erstellt er einen Mutex (eine wechselseitige Ausschlusssperre) und entschlüsselt seine Konfiguration, welche die IP-Adresse und den Port des C&C-Servers der Hacker enthält. Alle Konfigurationen und Zeichenketten werden auf die gleiche Weise verschlüsselt, wobei jedes Byte mit dem gleichen hart kodierten Wert subtrahiert wird.

In den meisten BugSleep-Beispielen erstellt die Malware eine geplante Aufgabe mit demselben Namen wie die Mutex und fügt ihr den Kommentar „sample comment“ hinzu. Die geplante Aufgabe, welche die Persistenz von BugSleep gewährleistet, führt die Malware aus und wird täglich alle 30 Minuten ausgelöst (tiefergehende Informationen zur technischen Analyse von BugSleep finden Sie im CPR-Blog).

MuddyWater weitet Aktivität und Taktiken aus

Die verstärkte Aktivität von MuddyWater im Nahen Osten, insbesondere in Israel, zeigt, dass diese Bedrohungsakteure hartnäckig sind und weiterhin gegen eine Vielzahl von Zielen in der Region vorgehen. Gleichzeitig erweitern sie ihr Gebiet und dringen mit Portugal sogar nach Europa vor. Ihr konsequenter Einsatz von Phishing-Kampagnen, die jetzt eine benutzerdefinierte Backdoor, BugSleep, enthalten, stellt eine bemerkenswerte Entwicklung in ihren Techniken, Taktiken und Verfahren (TTPs) dar.

Die Kampagnen spiegeln die Interessen der Gruppe wider und konzentrieren sich auf bestimmte Sektoren wie Gemeinden, Fluggesellschaften, Reisebüros und Medien. Obwohl sie auf bestimmte Sektoren zielen, ist die Bauart der Köder im Laufe der Zeit wesentlich simpler geworden: Die Verlagerung von hochgradig maßgeschneiderten Lockangeboten zu allgemeineren Themen wie Webinaren und Online-Kursen. Dies in Verbindung mit der zunehmenden Verwendung der englischen Sprache ermöglicht es der Gruppe, sich eher auf ein größeres Volumen von Opfern als auf spezifische Ziele zu konzentrieren.

MuddyWater is an Iranian threat group affiliated with the Ministry of Intelligence and Security (MOIS). Over the past year, MuddyWater has conducted large-scale phishing campaigns targeting the Middle East, with a particular focus on Israel. Since October 2023, the criminals‘ activity has increased significantly.

Their methods remain unchanged: they use phishing campaigns sent from compromised email accounts, targeting a variety of organizations in countries of interest. These campaigns typically result in the use of legitimate remote management tools (RMM) such as Atera Agent or Screen Connect. More recently, however, they have implemented a custom backdoor that analysts at Check Point Research (CPR) have dubbed BugSleep.

Although the hackers send the lures to a variety of organizations or individuals, they often focus on specific industries or sectors. These include Israeli municipalities and a broad group of airlines, travel agencies, and journalists. In total, CPR has identified more than 50 spear-phishing emails since February 2024, targeting more than 10 industries and sent to hundreds of recipients. In each campaign, the actors used a customized lure sent to dozens of targets in the same industry. For example, the lures targeting local governments included an invitation to download a new app designed specifically for local governments.

CPR observed two different emails using the exact same lure: one sent to targets in Saudi Arabia and the other sent to targets in Israel. The main differences were the email addresses used to send the emails and the final workload. In Saudi Arabia it was an RMM, in Israel it was the BugSleep custom backdoor. In addition, files related to the latest campaign were uploaded to VirusTotal from various IP locations, including Azerbaijan and Jordan.

Misuse of the Egnyte Collaboration Platform

Egnyte is a file sharing platform that allows employees and organizations to easily share files through a web browser. Recently, MuddyWater has frequently used Egnyte subdomains and mapped them to the company names used in their phishing emails. When recipients open the shared link, they see the purported sender’s name, which often appears legitimate and matches the target country’s naming conventions. In the case of a link sent to a transportation company in Saudi Arabia, the name of the owner, Khaled Mashal, the former head of Hamas and one of its prominent leaders, was displayed.

Technical analysis of BugSleep

BugSleep is a new custom malware that has been used in MuddyWater’s phishing lures since May 2024, partially replacing the use of legitimate RMM tools. CPR found that multiple versions of the malware are being distributed, with each version offering different improvements and bug fixes (and sometimes introducing new bugs). These updates, which occur at short intervals between samples, suggest a trial-and-error approach.

The main logic of BugSleep is similar across versions. It starts with many calls to the Sleep API to bypass sandboxes, and then loads the APIs it needs to work properly. It then creates a mutex (a mutual exclusion lock) and decrypts its configuration, which contains the IP address and port of the hacker’s C&C server. All configurations and strings are encrypted in the same way, by subtracting each byte with the same hardcoded value.

In most BugSleep samples, the malware creates a scheduled task with the same name as the mutex and adds the comment „sample comment“ to it. The scheduled task, which ensures the persistence of BugSleep, executes the malware and is triggered daily every 30 minutes (for more in-depth information on the technical analysis of BugSleep, see the CPR blog).

MuddyWater Expands Activity and Tactics

MuddyWater’s increased activity in the Middle East, particularly in Israel, shows that these threat actors are persistent and continue to operate against a variety of targets in the region. At the same time, they are expanding their territory, even entering Europe in Portugal. Their consistent use of phishing campaigns, which now include a custom backdoor, BugSleep, represents a notable evolution in their techniques, tactics and procedures (TTPs).

The campaigns reflect the group’s interests and focus on specific sectors such as municipalities, airlines, travel agencies and media. Despite targeting specific sectors, the design of the bait has become much simpler over time: A shift from highly customized bait and switch to more general topics such as webinars and online courses. This, combined with the increasing use of English, allows the group to focus on a larger volume of victims rather than specific targets.

Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten. Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner