{"id":297687,"date":"2024-07-23T00:18:01","date_gmt":"2024-07-22T22:18:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297687"},"modified":"2024-07-23T00:18:01","modified_gmt":"2024-07-22T22:18:01","slug":"bugsleep-backdoor-der-hackergruppe-muddywater-entdeckt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/23\/bugsleep-backdoor-der-hackergruppe-muddywater-entdeckt\/","title":{"rendered":"BugSleep: Backdoor der Hackergruppe MuddyWater entdeckt"},"content":{"rendered":"![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Sicherheitsforscher von Check Point Research sind auf eine neue Hintert\u00fcr namens BugSleep gesto\u00dfen. Diese Backdoor wurde von der iranischen Hackergruppe MuddyWater entwickelt. MuddyWater missbraucht die diese Hintert\u00fcr f\u00fcr Angriffe. Die meisten Angriffe zielten auf Unternehmen in Israel. Betroffen waren jedoch auch Einrichtungen in der T\u00fcrkei, Saudi-Arabien, Indien und Portugal. Es ist davon auszugehen, dass die Backdoor auch bei Angriffen auf andere Ziele zum Einsatz kommt.<\/p>\n
<\/p>\n
Check Point entdeckt BugSleep<\/h2>\n
Die Sicherheitsforscher von Check Point Research (CPR) sind auf die neue Hintert\u00fcr namens \"BugSleep\" gesto\u00dfen, als sich Kampagnen der iranischen Hackergruppe MuddyWater verfolgt haben. <\/p>\n
![\"BugSleep](\"https:\/\/i.postimg.cc\/bwDVVZbN\/image.png\"\/ "\\"BugSleep")
<\/p>\n
MuddyWater ist mit dem iranischen Ministerium f\u00fcr Nachrichtendienste und Sicherheit (MOIS) verbunden und seit mindestens 2017 aktiv. Im vergangenen Jahr f\u00fchrte MuddyWater weit verbreitete Phishing-Kampagnen durch, die auf den Nahen Osten abzielten, mit besonderem Schwerpunkt auf Israel. <\/p>\n
Seit Oktober 2023 haben die Aktivit\u00e4ten der Akteure deutlich zugenommen. Ihre Methoden sind gleichbleibend: Sie nutzen Phishing-Kampagnen, die von gestohlenen E-Mail-Konten aus gesendet werden und auf eine Vielzahl von Organisationen in verschiedenen L\u00e4ndern zielen. Diese Kampagnen f\u00fchren in der Regel zum Einsatz legitimer Remote Monitoring & Management Tools wie Atera Agent oder Screen Connect.<\/p>\n
L\u00e4nder- und branchen\u00fcbergreifende Phishing-Angriffe<\/h3>\n
Obwohl die Hacker die K\u00f6der an eine Vielzahl von Organisationen oder Einzelpersonen schicken, konzentrieren sie sich oft auf bestimmte Branchen oder Sektoren. Dazu geh\u00f6ren israelische Gemeinden und eine breite Gruppe von Fluggesellschaften, Reiseb\u00fcros und Journalisten. <\/p>\n
Insgesamt hat CPR seit Februar 2024 \u00fcber 50 Spear-Phishing-E-Mails identifiziert, die auf mehr als 10 Branchen gerichtet sind und an Hunderte von Empf\u00e4ngern gesendet wurden. Bei jeder Kampagne verwendeten die Akteure einen ma\u00dfgeschneiderten K\u00f6der, der an Dutzende von Zielgruppen im selben Sektor versandt worden ist. So enthielten die an Kommunen gerichteten K\u00f6der beispielsweise die Aufforderung, eine neue, speziell f\u00fcr Kommunen entwickelte App herunterzuladen. <\/p>\n
CPR beobachtete zwei verschiedene E-Mails, die genau denselben K\u00f6der verwenden: eine wurde an Zielpersonen in Saudi-Arabien und die andere nach Israel geschickt. Die Hauptunterschiede waren die E-Mail-Adressen, die zum Versenden der E-Mails verwendet wurden, und die endg\u00fcltige Workload. In Saudi-Arabien handelte es sich um ein RMM, in Israel um die benutzerdefinierte Backdoor BugSleep. Dar\u00fcber hinaus wurden Dateien im Zusammenhang mit der j\u00fcngsten Kampagne von verschiedenen IP-Standorten, darunter Aserbaidschan und Jordanien, auf VirusTotal hochgeladen. <\/p>\n
Missbrauch der Kollaborations-Plattform Egnyte<\/h3>\n<\/p>\n
Egnyte ist eine Plattform zur gemeinsamen Nutzung von Dateien, die es Mitarbeitern und Unternehmen erm\u00f6glicht, Dateien einfach \u00fcber einen Webbrowser auszutauschen. In letzter Zeit hat MuddyWater h\u00e4ufig Egnyte-Subdom\u00e4nen verwendet und sie mit den in ihren Phishing-E-Mails verwendeten Firmennamen abgeglichen. <\/p>\n
Wenn die Empf\u00e4nger den freigegebenen Link \u00f6ffnen, sehen sie den Namen des angeblichen Absenders, der oft legitim erscheint und mit den Namenskonventionen des Ziellandes \u00fcbereinstimmt. Bei einem Link, der an ein Transportunternehmen in Saudi-Arabien geschickt wurde, war der angezeigte Name jener des Eigent\u00fcmers Khaled Mashal, der ehemalige Leiter der Hamas und einer ihrer prominenten Anf\u00fchrer. <\/p>\n
![\"BugSleep](\"https:\/\/i.postimg.cc\/KcC0kZw6\/image002.png\"\/ "\\"BugSleep")
<\/p>\n
Abbildung: Neue Infektionskette der iranischen Hackergruppe MuddyWater
(Quelle: Check Point Software Technologies Ltd.)<\/i> <\/p>\nTechnische Analyse von BugSleep<\/h2>\n<\/p>\n
BugSleep ist eine neue, ma\u00dfgeschneiderte Malware, die seit Mai 2024 in den Phishing-K\u00f6dern von MuddyWater verwendet wird und teilweise den Einsatz legitimer RMM-Tools ersetzt. CPR stellte fest, dass mehrere Versionen der Malware verbreitet werden, wobei sich die einzelnen Versionen durch Verbesserungen und Fehlerbehebungen unterscheiden (und manchmal auch neue Fehler verursachen). Diese Aktualisierungen, die in kurzen Abst\u00e4nden zwischen den einzelnen Proben erfolgen, lassen auf einen Trial-and-Error-Ansatz schlie\u00dfen. <\/p>\n
Die Hauptlogik von BugSleep ist in allen Versionen \u00e4hnlich. Sie beginnt mit vielen Aufrufen der Sleep-API, um Sandboxen zu umgehen, und l\u00e4dt dann die APIs, die sie zum ordnungsgem\u00e4\u00dfen Betrieb ben\u00f6tigt. Dann erstellt er einen Mutex (eine wechselseitige Ausschlusssperre) und entschl\u00fcsselt seine Konfiguration, welche die IP-Adresse und den Port des C&C-Servers der Hacker enth\u00e4lt. Alle Konfigurationen und Zeichenketten werden auf die gleiche Weise verschl\u00fcsselt, wobei jedes Byte mit dem gleichen hart kodierten Wert subtrahiert wird. <\/p>\n
In den meisten BugSleep-Beispielen erstellt die Malware eine geplante Aufgabe mit demselben Namen wie die Mutex und f\u00fcgt ihr den Kommentar \u201esample comment\" hinzu. Die geplante Aufgabe, welche die Persistenz von BugSleep gew\u00e4hrleistet, f\u00fchrt die Malware aus und wird t\u00e4glich alle 30 Minuten ausgel\u00f6st (tiefergehende Informationen zur technischen Analyse von BugSleep finden Sie im CPR-Blog<\/a>). <\/p>\nMuddyWater weitet Aktivit\u00e4t und Taktiken aus<\/h2>\n<\/p>\n
Die verst\u00e4rkte Aktivit\u00e4t von MuddyWater im Nahen Osten, insbesondere in Israel, zeigt, dass diese Bedrohungsakteure hartn\u00e4ckig sind und weiterhin gegen eine Vielzahl von Zielen in der Region vorgehen. Gleichzeitig erweitern sie ihr Gebiet und dringen mit Portugal sogar nach Europa vor. Ihr konsequenter Einsatz von Phishing-Kampagnen, die jetzt eine benutzerdefinierte Backdoor, BugSleep, enthalten, stellt eine bemerkenswerte Entwicklung in ihren Techniken, Taktiken und Verfahren (TTPs) dar. <\/p>\n
Die Kampagnen spiegeln die Interessen der Gruppe wider und konzentrieren sich auf bestimmte Sektoren wie Gemeinden, Fluggesellschaften, Reiseb\u00fcros und Medien. Obwohl sie auf bestimmte Sektoren zielen, ist die Bauart der K\u00f6der im Laufe der Zeit wesentlich simpler geworden: Die Verlagerung von hochgradig ma\u00dfgeschneiderten Lockangeboten zu allgemeineren Themen wie Webinaren und Online-Kursen. Dies in Verbindung mit der zunehmenden Verwendung der englischen Sprache erm\u00f6glicht es der Gruppe, sich eher auf ein gr\u00f6\u00dferes Volumen von Opfern als auf spezifische Ziele zu konzentrieren. Weitere Details finden sich in diesem Check Point Research-Beitrag<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"[English]Sicherheitsforscher von Check Point Research sind auf eine neue Hintert\u00fcr namens BugSleep gesto\u00dfen. Diese Backdoor wurde von der iranischen Hackergruppe MuddyWater entwickelt. MuddyWater missbraucht die diese Hintert\u00fcr f\u00fcr Angriffe. Die meisten Angriffe zielten auf Unternehmen in Israel. Betroffen waren jedoch … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-297687","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297687","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=297687"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297687\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=297687"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=297687"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=297687"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}