De Iraanse natiestaatactor MuddyWater is geobserveerd bij het gebruik van een nooit eerder geziene backdoor als onderdeel van een recente aanvalscampagne. Daarmee is afgeweken van de bekende tactiek van het inzetten van legitieme software voor externe monitoring en beheer (RMM) om permanente toegang te behouden.
Dat blijkt uit onafhankelijke bevindingen van de cybersecuritybedrijven Check Point en Sekoia, die de malware de codenaam Insectenslaap En ModderRotrespectievelijk.
“Vergeleken met eerdere campagnes, veranderde MuddyWater deze keer hun infectieketen en vertrouwden ze niet op de legitieme Atera remote monitoring and management tool (RRM) als validator,” zei Sekoia in een rapport dat werd gedeeld met The Hacker News. “In plaats daarvan zagen we dat ze een nieuw en ongedocumenteerd implantaat gebruikten.”
Sommige elementen van de campagne werden voor het eerst gedeeld door het Israëlische cybersecuritybedrijf ClearSky op 9 juni 2024. Doelwitten zijn onder meer Turkije, Azerbeidzjan, Jordanië, Saoedi-Arabië, Israël en Portugal.
MuddyWater (ook bekend als Boggy Serpens, Mango Sandstorm en TA450) is een door de staat gesponsorde dreigingsactor waarvan wordt aangenomen dat deze banden heeft met het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS).
Cyberaanvallen door de groep zijn vrij consistent, waarbij gebruik wordt gemaakt van spear-phishing-lokmiddelen in e-mailberichten om verschillende RMM-tools te verspreiden, zoals Atera Agent, RemoteUtilities, ScreenConnect, SimpleHelp en Syncro.
Eerder deze april zei HarfangLab dat het een stijging zag in MuddyWater-campagnes die Atera Agent leveren sinds eind oktober 2023 aan bedrijven in Israël, India, Algerije, Turkije, Italië en Egypte. De sectoren die het doelwit zijn, zijn onder meer luchtvaartmaatschappijen, IT-bedrijven, telecom, farmacie, autoproductie, logistiek, reizen en toerisme.
“MuddyWater hecht veel waarde aan het verkrijgen van toegang tot zakelijke e-mailaccounts als onderdeel van hun voortdurende aanvalscampagnes”, aldus het Franse cybersecuritybedrijf destijds.
“Deze gecompromitteerde accounts vormen waardevolle hulpmiddelen waarmee de groep de geloofwaardigheid en effectiviteit van hun spear-phishing-inspanningen kan vergroten, persistentie kan creëren binnen de beoogde organisaties en detectie kan omzeilen door zich te mengen met legitiem netwerkverkeer.”
De nieuwste aanvalsketens vormen daarop geen uitzondering. Gehackte e-mailaccounts van legitieme bedrijven worden gebruikt om spear-phishingberichten te versturen. Deze berichten bevatten een directe link of een PDF-bijlage die verwijst naar een Egnyte-subdomein. Dit subdomein is eerder al door de kwaadwillende partij misbruikt om Atera Agent te verspreiden.
BugSleep, ook bekend als MuddyRot, is een x64-implantaat ontwikkeld in C dat is uitgerust met mogelijkheden om willekeurige bestanden te downloaden/uploaden naar/van de gecompromitteerde host, een reverse shell te starten en persistentie in te stellen. Communicatie met een command-and-control (C2) server vindt plaats via een raw TCP-socket op poort 443.
“Het eerste bericht dat naar de C2 wordt gestuurd, is de vingerafdruk van de host van het slachtoffer, wat de combinatie is van de hostnaam en de gebruikersnaam, verbonden door een slash,” zei Sekoia. “Als het slachtoffer ‘-1’ ontvangt, stopt het programma, anders komt de malware in een oneindige lus terecht om te wachten op een nieuwe opdracht van de C2.”
Het is momenteel niet duidelijk waarom MuddyWater is overgestapt op een op maat gemaakt implantaat. Er wordt wel vermoed dat de toegenomen controle van RMM-tools door beveiligingsleveranciers hierbij een rol speelt.
“De toegenomen activiteit van MuddyWater in het Midden-Oosten, met name in Israël, onderstreept het hardnekkige karakter van deze dreigingsactoren, die nog steeds actief zijn tegen een breed scala aan doelen in de regio”, aldus Check Point.
“Hun consistente gebruik van phishingcampagnes, nu met een aangepaste backdoor, BugSleep, markeert een opmerkelijke ontwikkeling in hun technieken, tactieken en procedures (TTP’s).”
