Irańska grupa cyberterrorystyczna MuddyWater zintensyfikowała swoje działania przeciwko Izraelowi wdrażając nową kampanię typu backdoor – informuje Check Point Research. Zagrożone są nie tylko instytucje państwowe, ale również firmy prywatne i organizacje z sektora opieki zdrowotnej.
MuddyWater to irańskia grupy cybernetyczna powiązana od 2019 r. z Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). Zdaniem analityków bezpieczeństwa cybernetycznego z Check Point Research grupa znacznie zwiększyła swoją działalność w Izraelu od początku wojny między Izraelem a Hamasem w październiku 2023 r. Oprócz zwykłych kampanii phishingowych, obejmujących złośliwe wdrażanie legalnych narzędzi do zdalnego sterowania, MuddyWater rozpoczął wdrażanie nowego, wcześniej nieudokumentowanego backdoora, nazwanego BugSleep.
BugSleep używany jest w przynętach phishingowych od maja 2024 r. Rozpowszechnionych ma być kilka wersji tego szkodliwego oprogramowania. Aktualizacje backdoora zazwyczaj dotyczą ulepszeń i poprawek błędów w samym złośliwym oprogramowaniu.
Kampanie z jego użyciem skierowane są do wielu różnych sektorów, od rządów po biura podróży i dziennikarzy. Większość e-maili dostarczających złośliwe oprogramowanie jest skierowana do izraelskich firm, zanotowano również przypadki wysłane do organizacji w Turcji, Arabii Saudyjskiej, Indiach i Portugalii.
Użycie BugSleep oznacza znaczący rozwój technik, taktyk i procedur MuddyWater (TTP). Od października 2023 r. ugrupowanie wykorzystywało kampanie phishingowe wysyłane z zaatakowanych kont e-mail, które w atakach wykorzystują legalne narzędzia do zdalnego zarządzania (RMM), takie jak Atera Agent i Screen Connect. Od lutego 2024 r. Check Point Research zidentyfikował ponad 50 e-maili typu spear phishing, skierowanych do ponad 10 sektorów, w tym gmin, dziennikarzy i zakładów opieki zdrowotnej. Aby uzyskać dogłębną analizę złośliwego oprogramowania i najnowszych złośliwych kampanii MuddyWater, odwiedź stronę Check Point Research.