伊朗政府支持的网络间谍组织 MuddyWater 使用自定义后门升级了其恶意软件，用于针对以色列组织。

该团伙与伊朗情报和安全部 （MOIS） 有联系，美国于 2022 年制裁了该部，以回应其对阿尔巴尼亚的袭击和其他“针对美国及其盟国的网络活动”。

在 2023 年 10 月 7 日哈马斯领导的袭击事件发生后，MuddyWater 加入了一场明显的反以色列运动，该运动涉及几个伊朗团体。根据 Check Point Research 的说法，此后它转向了部署新后门的网络钓鱼活动——称为 BugSleep。

该团伙的网络钓鱼诱饵最近使用邀请参加网络研讨会和在线课程。自 2 月以来，Check Point 记录了 50 多封此类邮件，这些邮件发送给以色列经济十个部门的数百人。

“其中包括针对以色列市政当局以及更广泛的航空公司，旅行社和记者的显着网络钓鱼活动，”Check Point的威胁情报团队在周一的一份报告中写道。

这些邮件通常是从受感染的组织电子邮件帐户发送的，这有助于诱骗用户打开它们。虽然大多数针对以色列企业，但其他人则被派往土耳其、沙特阿拉伯、印度和葡萄牙的公司。

这些电子邮件包含一个链接，该链接指向合法文件共享和协作平台 Egnyte.com 的子域。一旦用户点击网络钓鱼链接，他们就会看到合法公司或个人的名称，这为骗局提供了可信度。

“在发送给沙特阿拉伯一家运输公司的链接中，显示的所有者姓名是哈马斯前领导人哈立德·马沙尔（Khaled Mashal），也是哈马斯的杰出领导人之一，”Check Point Research写道。

Microsoft：在哈马斯发动袭击几天后，伊朗的网络工作人员被困在以色列——而不是同时行动
山姆大叔就阿尔巴尼亚网络攻击制裁伊朗情报机构
DarkGate 是恶意软件的瑞士军刀，在竞争对手 Qbot 被粉碎后蓬勃发展
中国的 APT41 工作人员在其工具箱中添加了一个隐蔽的恶意软件加载程序和新的后门

在针对以色列市政当局的袭击中，这些电子邮件宣传了一个不存在的市政应用程序，“旨在自动化任务，提高效率，并确保运营的最大安全性”。

但是，单击该链接不会下载应用程序。相反，它会将 BugSleep 放在受害者的机器上。

这种新的定制恶意软件“部分取代”了 MuddyWater 使用合法的远程监控和管理工具。“我们发现了正在分发的恶意软件的几个版本，每个版本之间的差异显示了改进和错误修复（有时还会创建新的错误），”Check Point建议道。这种策略还使安全软件更难获取攻击代码的签名。

威胁猎人进一步分析了恶意软件，并对其进行了如下描述：

BugSleep 主逻辑在所有版本中都是相似的，首先是多次调用 API 以规避沙箱，然后加载正常运行所需的 API。然后，它创建一个互斥锁（我们在示例中观察到）并解密其配置，其中包括 C&C IP 地址和端口。所有配置和字符串都以相同的方式加密，其中每个字节都用相同的硬编码值减去。Sleep"PackageManager""DocumentUpdater"

文章原文链接:https://www.anquanke.com/post/id/297994