به گزارش کارگروه حملات سایبری سایبربان؛ رژیم صهیونیستی ادعا کرد که گروه هکری محور مقاومت مادی واتر (MuddyWater) بدافزار خود را با یک درب پشتی سفارشی ارتقا داده که برای هدف قرار دادن سازمانهای اسرائیلی از آن استفاده میشود.
بنا بر ادعای کارشناسان، این گروه هکری با وزارت اطلاعات و امنیت ایران (MOIS) مرتبط است که ایالات متحده در سال 2022 با ادعای حملات این گروه علیه آلبانی و سایر «فعالیتهای سایبری علیه ایالات متحده و متحدانش» آن را تحریم کرد.
مادی واتر پس از حملات 7 اکتبر 2023 به رهبری حماس به یک کمپین آشکار ضد اسرائیلی ملحق شد. طبق بررسی چک پوینت، از آن زمان به سمت کمپینهای فیشینگ رفت که یک درب پشتی جدید به نام «BugSleep» را مستقر کرد.
هکرها در حملات فیشینگ از دعوتنامهها برای شرکت در وبینارها و کلاسهای آنلاین استفاده کردهاند. از فوریه امسال، چک پوینت بیش از 50 نامه از این قبیل را یافت کرده که به صدها نفر در 10 بخش اقتصاد رژیم صهیونیستی ارسال شده است.
تیم اطلاعات تهدید چک پوینت در گزارشی نوشت :
«از جمله کمپینهای فیشینگ قابل توجهی است که شهرداریهای اسرائیل و همچنین گروه وسیعتری از خطوط هوایی، آژانسهای مسافرتی و روزنامهنگاران را هدف گرفتهاند.»
نامهها معمولاً از حسابهای ایمیل سازمانی در معرض خطر ارسال میشدند که به فریب کاربران برای باز کردن آنها کمک میکند؛ و در حالیکه اکثریت شرکتهای اسرائیلی را هدف قرار میدادند، بقیه به شرکتهایی در ترکیه، عربستان سعودی، هند و پرتغال فرستاده شدند.
این ایمیلها شامل پیوندی است که به یک زیر دامنه از پلتفرم اشتراکگذاری و همکاری قانونی «Egnyte.com» منتهی میشود. هنگامی که کاربران روی پیوند فیشینگ کلیک میکنند، نام یک شرکت یا شخص قانونی را میبینند که به کلاهبرداری اعتبار میبخشد.
چک پوینت مدعی شد :
«در پیوندی که به یک شرکت حمل و نقل در عربستان سعودی ارسال شده، نام نمایش داده شده مالک خالد مشعل (Khaled Mashal)، رئیس سابق حماس و یکی از رهبران برجسته آن است. در حملاتی که شهرداریهای اسرائیل را هدف قرار میدهند، ایمیلها یک برنامه شهری غیرقابل استفاده را تبلیغ میکنند که برای خودکارسازی وظایف، افزایش کارایی و تضمین حداکثر ایمنی در عملیات طراحی شده است.»
با این حال، با کلیک روی پیوند، برنامهای دانلود نمیشود. در عوض، BugSleep را روی دستگاه قربانی میاندازد.
این بدافزار جدید سفارشی «تا حدی جایگزین» استفاده مادی واتر از نظارت از راه دور و ابزارهای مدیریت قانونی شده است. چک پوینت پیشنهاد کرد :
«ما چندین نسخه از بدافزار در حال توزیع را کشف کردیم، با تفاوتهایی که بین هر نسخه نشاندهنده بهبود و رفع اشکال (و گاهی اوقات ایجاد اشکالهای جدید) بود. این تاکتیک همچنین گرفتن امضای کد حمله را برای نرم افزارهای امنیتی دشوارتر می کند.»
محققان ادعا کردند که منطق اصلی BugSleep در همه نسخهها مشابه است، از تماسهای زیادی با «Sleep API» برای فرار از جعبههای ماسهبازی شروع میشود و سپس APIهایی را که برای اجرای درست نیاز دارد بارگیری میکند. سپس یک «mutex» ایجاد میکند و پیکربندی آن را که شامل آدرس آیپی و پورت فرماندهی و کنترل است رمزگشایی میکند. تمام تنظیمات و رشتهها به یک روش رمزگذاری میشوند، جایی که هر بایت با همان مقدار کدگذاری شده کم میشود.
نمونههای چک پوینت تجزیهوتحلیلشده چندین کار برنامهریزیشده مختلف را ایجاد میکنند که هر 30 دقیقه فعال میشوند، که همچنین ماندگاری دستگاه آلوده را تضمین میکند. اینها شامل ارسال فایلهای سرقت شده به سرور کنترل و فرماندهی، نوشتن محتوا در یک فایل، حذف کارها و ایجاد کارهای جدید و بهروزرسانی زمان خواب و مقدار وقفه است.
یکی از نمونههای تجزیه و تحلیل شده شامل روشهایی برای کمک به بدافزار برای فرار از شناسایی توسط ابزارهای تشخیص نقطه پایانی است :
ابتدا، بدافزار پرچم «MicrosoftSignedOnly» ساختار «ProcessSignaturePolicy» را فعال میکند تا از بارگیری تصاویری که توسط مایکروسافت امضا نشدهاند، جلوگیری کند. این مانع از تزریق DLL توسط سایر فرآیندها به فرآیند میشود.
در مرحله بعد، پرچم «ProhibitDynamicCode» ساختار «ProcessDynamicCodePolicy» را فعال میکند تا از تولید کد پویا یا تغییر کد اجرایی موجود توسط فرآیند جلوگیری کند. فعال کردن ProcessDynamicCodePolicy ممکن است برای محافظت از آن در برابر راهحلهای EDR که توابع userland API را برای بازرسی اهداف برنامهها قلاب میکنند، مفید باشد.
نسخه دیگری از بدافزار همچنین شامل یک لودر پوسته کد سفارشی است.
چک پوینت هشدار داد در حالیکه گروه هکری همچنان بر بخشهای خاصی در کمپینهای بدافزار خود تمرکز میکنند، این حرکت از فریبهای سفارشیسازیشده به سمت موارد عمومیتر، تمرکز هکرها بر حملات با حجم بالاتر را آسانتر میکند.
