MuddyWater Hacker’ları BugSleep Kötü Amaçlı Yazılımıyla Meşru RMM’yi Dağıtıyor


MOIS’e bağlı İranlı tehdit grubu MuddyWater, Ekim 2023’ten bu yana Orta Doğu ülkelerinde, özellikle İsrail’de kimlik avı kampanyalarını yoğunlaştırdı.

Yaklaşımlarında, kötü amaçlı içeriği çeşitli sektörlere yaymak için halihazırda ele geçirilmiş e-posta hesaplarını kullanıyorlar.

Taze inek sütü kullanılarak gece boyunca oluşan lor peynirinin şafak vakti çalkalanması. Küçük partiler halinde taze olarak yapılır.

Son saldırılarda, daha geniş ölçekte yeniden kullanımı teşvik eden web semineri davetleri gibi genel, İngilizce dilindeki cazibeler yer aldı.

CheckPoint’teki siber güvenlik araştırmacıları yakın zamanda MuddyWater bilgisayar korsanlarının BugSleep kötü amaçlı yazılımıyla meşru RMM’yi dağıttığını tespit etti.

BugSleep, meşru Uzaktan Yönetim Araçlarını (RMM) kullanan özel bir arka kapıdır.

Stratejileri, belirli sektörlere yönelik özelleştirilmiş yemler ve Egnyte gibi meşru dosya paylaşım hizmetlerinde barındırılan Kötü Amaçlı dosyalarla daha da karmaşık hale geliyor ve bu da MuddyWater imzalarını bozulmadan korurken ne kadar uyarlanabilir olabileceklerini gösteriyor.

MuddyWater yeni enfeksiyon zinciri (Kaynak – CheckPoint)

MuddyWater adlı hacker grubunun, Egnyte alt alan adlarını farklı ülkelerdeki çeşitli sektörlere yönelik, kimlik avı içeren siber saldırılarda kullandığı belirtiliyor.

Ayrıca uzaktan izleme ve yönetim (RMM) araçlarının bazı yasal kullanımlarının yerini alacak yeni BugSleep kötü amaçlı yazılımını da tanıttılar.

Dikkat çeken kimlik avı kampanyaları (Kaynak – CheckPoint)

BugSleep kaçınma teknikleri uygular, iletişimleri şifreler ve C&C sunucusundan birden fazla komutu yürütebilir.

Kötü amaçlı yazılımın, kalıcılık, zamanlanmış görevler ve EDR çözümlerinden kaçınma girişimleri için işlem enjeksiyonunu kullanırken farklı sürümler ve bazı kodlama tutarsızlıkları da dahil olmak üzere devam eden geliştirme belirtileri var.

Bu uygulama eksiklikleri nedeniyle BugSleep, özellikle Azerbaycan ve Ürdün’de yürütülen operasyonlarla bağlantısı olabilecek İsrail, Türkiye, Suudi Arabistan, Hindistan ve Portekiz merkezli kuruluşlar için önemli bir tehdit oluşturmaktadır.

Hedeflenen ülkelerin haritası (Kaynak – CheckPoint)

Grubun gelişmiş kimlik avı kampanyaları BugSleep’in tanıtılmasıyla teşvik edildi.

Araştırmacılar, MuddyWater’ın Ortadoğu’da, özellikle İsrail’de artan faaliyetlerinin, onların ısrarcı olduklarını ve taktiklerini geliştirdiklerini gösterdiğini söyledi.

Belediyeler, havayolları ve medya gibi farklı sektörleri hedefleyen grup, cazibesini basitleştirerek İngilizce’de son derece özelleştirilmiş temalardan genel temalara geçti.

Bu değişiklik, daha fazla saldırı hacmiyle belirli hedefleme yerine daha geniş bölgesel etkiyi mümkün kılacak ve bu da strateji ayarlamalarının göstergesi olacak.

Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.



Source link