【安全资讯】伊朗MuddyWater组织利用定制后门对以色列进行网络钓鱼攻击
概要:
伊朗政府支持的网络间谍组织MuddyWater最近升级了其恶意软件,使用定制的后门程序BugSleep对以色列组织进行攻击。该组织与伊朗情报和安全部(MOIS)有关联,并在2022年因其对阿尔巴尼亚和其他国家的网络攻击活动而被美国制裁。主要内容:
MuddyWater组织在2023年10月7日哈马斯领导的攻击后,加入了针对以色列的网络攻击行动。根据Check Point Research的报告,该组织通过网络钓鱼活动部署了新的后门程序BugSleep。自2023年2月以来,Check Point记录了超过50封此类邮件,发送给以色列经济的十个部门的数百名个人。这些邮件通常来自被攻陷的组织邮箱,诱骗用户点击链接。这些钓鱼邮件包含一个链接,指向合法文件共享和协作平台Egnyte.com的子域名。一旦用户点击链接,他们会看到一个合法公司或个人的名字,从而增加了骗局的可信度。例如,发送给沙特阿拉伯一家运输公司的链接显示的名字是哈马斯前领导人Khaled Mashal。点击链接后,受害者的设备上会下载BugSleep恶意软件,而不是宣传的应用程序。
BugSleep恶意软件的主要逻辑在所有版本中相似,首先调用Sleep API以逃避沙盒检测,然后加载所需的API。它创建一个互斥体并解密其配置,包括C&C服务器的IP地址和端口。Check Point分析的样本创建了多个不同的计划任务,每30分钟触发一次,以确保在受感染设备上的持久性。这些任务包括发送被盗文件到控制服务器、写入文件内容、删除任务和创建新任务等。
BugSleep还采用了多种方法来逃避终端检测工具的检测。例如,它启用了ProcessSignaturePolicy结构的MicrosoftSignedOnly标志,防止进程加载未由微软签名的图像。它还启用了ProcessDynamicCodePolicy结构的ProhibitDynamicCode标志,防止进程生成动态代码或修改现有的可执行代码。Check Point警告称,这种从定制诱饵转向更通用诱饵的策略,将使网络间谍更容易进行大规模攻击。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享